804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Een optimaal model van de inrichting<br />
van een interne audit functie,<br />
gegeven het onderscheid tussen<br />
IT en operational auditing<br />
Afstudeer<strong>scriptie</strong> voor de Post-graduate IT Audit opleiding,<br />
aan de Vrije Universiteit te Amsterdam<br />
Opstellers: T. Tjeerdsma en M. Blokker<br />
Scriptienummer: <strong>804</strong><br />
Scriptiebegeleider: Jan van Praat RE RA<br />
Bedrijfsbegeleider: Ing Yan Ong RE<br />
Datum: 25-03-08
Inhoudsopgave<br />
MANAGEMENT SAMENVATTING ............................................................................................................................... 2<br />
2 AUDITING IN HET ALGEMEEN ......................................................................................................................... 5<br />
2.1 INLEIDING................................................................................................................................................................. 5<br />
2.2 SOORTEN AUDITS ..................................................................................................................................................... 5<br />
2.3 UITVOERING VAN DE AUDIT ..................................................................................................................................... 6<br />
2.4 DE AUDITOR ............................................................................................................................................................. 8<br />
2.5 TOT SLOT .................................................................................................................................................................. 9<br />
3 IT AUDITING ........................................................................................................................................................ 10<br />
3.1 INLEIDING............................................................................................................................................................... 10<br />
3.2 SOORTEN IT AUDITS ............................................................................................................................................... 11<br />
3.3 UITVOERING VAN DE IT AUDIT ............................................................................................................................... 11<br />
3.4 DE IT AUDITOR ....................................................................................................................................................... 13<br />
3.5 TOT SLOT ................................................................................................................................................................ 15<br />
4 OPERATIONAL AUDITING ............................................................................................................................... 16<br />
4.1 INLEIDING............................................................................................................................................................... 16<br />
4.2 SOORTEN OPERATIONAL AUDITS ............................................................................................................................ 17<br />
4.3 UITVOERING VAN DE OPERATIONAL AUDIT ............................................................................................................ 17<br />
4.4 DE OPERATIONAL AUDITOR .................................................................................................................................... 19<br />
4.5 TOT SLOT ................................................................................................................................................................ 21<br />
5 HET VERSCHIL EN DE OVEREENKOMSTEN TUSSEN IT EN OPERATIONAL AUDITING ............. 22<br />
5.1 INLEIDING............................................................................................................................................................... 22<br />
5.2 OBJECTEN VAN ONDERZOEK ................................................................................................................................... 22<br />
5.3 ASPECTEN .............................................................................................................................................................. 23<br />
5.4 NORMEN ................................................................................................................................................................. 24<br />
5.5 AUDIT FASES .......................................................................................................................................................... 25<br />
5.6 DE AUDITOR ........................................................................................................................................................... 26<br />
5.7 TOT SLOT ................................................................................................................................................................ 28<br />
6 RESULTATEN PRAKTIJKONDERZOEK ........................................................................................................ 29<br />
6.1 INLEIDING............................................................................................................................................................... 29<br />
6.2 VRAGENLIJST INTERVIEWS ..................................................................................................................................... 29<br />
6.3 RESULTATEN PRAKTIJKONDERZOEK ....................................................................................................................... 29<br />
6.4 TOT SLOT ................................................................................................................................................................ 32<br />
7 CONCLUSIES EN AANBEVELINGEN ............................................................................................................. 34<br />
7.1 INLEIDING............................................................................................................................................................... 34<br />
7.2 CONCLUSIES ........................................................................................................................................................... 34<br />
7.3 AANBEVELING ........................................................................................................................................................ 35<br />
8 EVALUATIE .......................................................................................................................................................... 36<br />
LITERATUURLIJST ........................................................................................................................................................ 37<br />
BIJLAGEN ......................................................................................................................................................................... 38<br />
A VRAGENLIJST ......................................................................................................................................................... 38<br />
B UITGEBREIDE RESULTATEN PRAKTIJKONDERZOEK ................................................................................................. 39<br />
1
Management samenvatting<br />
Deze <strong>scriptie</strong> geeft antwoord op de vraag wat het optimale model is van inrichting van audit functies binnen een<br />
interne audit organisatie, gegeven het onderscheid in uitvoering van IT en operational audits. Om deze vraag te<br />
beantwoorden hebben wij twee subvragen geformuleerd. Deze luidden:<br />
1. “Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en<br />
overeenkomsten bestaan er hier tussen?”;<br />
2. “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.<br />
Voor de beantwoording van de eerste subvraag hebben wij een literatuuronderzoek uitgevoerd naar de aspecten<br />
die een rol spelen bij de uitvoering van een audit. Hieruit kwamen de volgende algemene aspecten naar voren: de<br />
objecten, de normen, de kwaliteitsaspecten en de door de beroepsorganisaties gestelde eisen aan auditors.<br />
Bestudering van deze algemene aspecten leerde ons dat deze zowel verschillen als overeenkomsten vertonen bij<br />
IT auditing en operational auditing. De overeenkomsten zijn echter aanzienlijk groter dan de verschillen. De<br />
overeenkomsten hadden betrekking op de objecten van onderzoek, de aspecten verbonden aan deze objecten, de<br />
audit fases en een groot aantal van de eisen aan de auditors. De verschillen betroffen de algemene normenkaders,<br />
de benaming en invulling van een tweetal eisen vanuit de beroepsorganisaties en de optiek van waaruit het object<br />
van onderzoek wordt benaderd. Hoewel zowel IT als operational auditing naar de beheersing binnen de<br />
organisatie kijken, benaderd IT auditing dit namelijk vanuit het oogpunt van de informatiesystemen en<br />
operational auditing vanuit het oogpunt van de organisatie in het algemeen.<br />
De tweede subvraag hebben wij beantwoord aan de hand van een praktijkonderzoek. Op basis van de resultaten<br />
op de eerste subvraag hebben wij een vragenlijst opgesteld. Deze hebben wij afgenomen bij een organisatie met<br />
én bij een organisatie zonder scheiding tussen IT en operational auditing functies. Hieruit kwam naar voren dat<br />
met name het verschil in de optiek van waar uit de audit objecten worden getoetst invloed heeft op de inrichting<br />
van de interne audit functie, meer in het bijzonder op het maken van een onderscheid tussen IT en operational<br />
auditors. Daarnaast bleek het niet uit te maken hoe de IT en operational auditors binnen een organisatie zijn<br />
ingedeeld, namelijk in één team opererend of niet.<br />
Voor onze hoofdvraag betekenen deze uitkomsten dat gegeven het onderscheid tussen IT en operational auditing<br />
een separate positionering van IT en operational auditors niet noodzakelijk is. Vanuit de behoefte aan een totaal<br />
benadering van risicobeheersing vullen de twee typen auditors elkaar juist goed aan met hun verschillende<br />
benaderingswijze van de onderzoeksobjecten. Een expliciete uitspraak over een optimaal model van inrichting<br />
van audit functies hebben wij niet kunnen doen aangezien factoren als type en de omvang van de organisatie een<br />
mogelijke rol bleken te spelen.<br />
2
1 Inleiding en onderzoeksvraag<br />
Interne audit organisaties kunnen op verschillende manieren zijn georganiseerd. Zij kunnen verschillen in het<br />
soort audits die ze willen (laten) uitvoeren, in de wijze waarop zij de verschillende disciplines binnen hun eigen<br />
organisatie hebben gestructureerd, en zij kunnen verschillen in de eisen die ze dientengevolge aan hen auditors<br />
stellen. Zo zijn er organisaties die van hun interne auditors verwachten dat ze zowel financial, IT als operational<br />
audits uitvoeren. Maar er zijn ook audit organisaties die voor ieder audit discipline specialisten in huis hebben,<br />
die zij in meer of mindere mate met elkaar laten samenwerken. Uit onderzoek van Paape (Paape, 2005) is ook<br />
gebleken dat de omvang van een interne audit organisatie verschilt per type bedrijfsvoering en per grote van de<br />
organisatie. Zo hebben grotere bedrijven meer auditors in dienst, hebben Telecom, IT en Media bedrijven<br />
gemiddeld 7 fte voor audit beschikbaar, Openbare diensten 29 fte en Financiële dienstverleners 66 fte.<br />
De centrale audit afdeling van ABN AMRO Bank bestaat wereldwijd uit circa 900 fte. Binnen de centrale audit<br />
afdeling van ABN AMRO Bank (“Group Audit”) is er organisatorisch een onderscheid gemaakt tussen IT en<br />
operational audit, en binnen de centrale IT audit afdeling tussen technical en system audit teams. Zowel de<br />
operational als de system auditors zijn ingedeeld in teams die de organisatiestructuur van ABN AMRO volgen.<br />
De technical auditors daarentegen vormen één algemeen team dat zich richt op de centrale IT organisatie en de<br />
algemene ondersteunende IT systemen.<br />
De operational auditors voeren audits uit naar de beheersing van de organisatieprocessen binnen de aan hen<br />
toegewezen bedrijfsonderdelen en de system auditors naar de beheersing van de door deze bedrijfsonderdelen<br />
gebruikte systemen. De technical auditors voeren onderzoeken uit naar de beheersing van de beheerprocessen<br />
binnen de IT organisatie, de infrastructurele IT systemen en de General IT Controls.<br />
Dit organisatorische onderscheid leidt ertoe dat het optimaal afstemmen van de auditdekking, namelijk het<br />
zodanig plannen en afbakenen van de audits, waarbij de te controleren omgeving zo effectief en efficiënt<br />
mogelijk wordt afgedekt en de auditee zo min mogelijk wordt belast, een lastig proces is. Immers, de audit<br />
objecten van de groepen operational, technical en system auditors zijn niet los van elkaar te zien en lopen vaak<br />
zelfs geruisloos in elkaar over. Om een goed oordeel over de kwaliteit van de beheersing van de<br />
organisatieprocessen te kunnen geven moeten de operational auditors ook kijken naar aspecten die een sterke IT<br />
component hebben, zoals de toegangbeveiliging. De system auditors kunnen op hun beurt de<br />
beheersingsmaatregelen die in de systemen zijn ingebracht, de zogenaamde applicatieve beheersingsmaatregelen,<br />
niet los zien van de organisatieprocessen die zij ondersteunen. Bovendien zullen de system auditors ook aandacht<br />
moeten besteden aan aspecten als de aansluiting van de applicaties op de infrastructurele systemen en de General<br />
IT Controls voor deze systemen. Aspecten waar ook de technical auditors een oordeel over geven.<br />
Aangezien ABN AMRO waarschijnlijk niet de enige organisatie is die met de hierboven geschetste knelpunten te<br />
maken heeft, willen wij met deze <strong>scriptie</strong> inzicht geven in aspecten die bijdragen aan een optimale inrichting van<br />
een interne audit functie gegeven het onderscheid tussen IT en operational auditing. In deze richtlijn zullen wij in<br />
ieder geval aandacht besteden aan aspecten die nodig zijn om het operationele proces van auditing uit te voeren,<br />
zoals de afbakening van de objecten, het bepalen van de normen en de eisen die gesteld worden aan de auditors.<br />
Deze <strong>scriptie</strong> zal derhalve de vorm hebben van een onderzoek binnen diverse interne audit organisaties, om op<br />
basis hiervan randvoorwaarden voor succes af te leiden. Hoewel er meer soorten audits zijn zoals financial,<br />
compliance, forensic, IT en operational auditing zullen wij ons alleen op de laatste twee richten.<br />
Naar aanleiding van bovenstaande situatie zijn wij tot de volgende onderzoeksvraag gekomen:<br />
“Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven<br />
het onderscheid tussen IT en operational auditing?”<br />
De subvragen die wij bij het beantwoorden van de hoofdvraag behandelen, zijn:<br />
1. “Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en<br />
overeenkomsten bestaan er hier tussen?”;<br />
2. “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.<br />
3
Binnen onze <strong>scriptie</strong> vormt de eerste subvraag de kern van ons onderzoek. Om deze eerste subvraag te<br />
beantwoorden zijn wij door middel van een literatuurstudie dieper ingegaan op de uitvoering van audits in het<br />
algemeen en die van IT en operational auditing in het bijzonder. Wij hebben ons daarbij gericht op de diverse<br />
soorten audits die onderscheiden kunnen worden, de algemene aspecten die een rol spelen bij de daadwerkelijk<br />
uitvoering van een audit en op de uitvoerder van de audit, de auditor. Deze onderdelen hebben wij behandeld in<br />
Hoofdstuk 2 (Auditing in het algemeen), Hoofdstuk 3 (IT auditing) en Hoofdstuk 4 (Operational auditing). Aan<br />
de hand van een vergelijking van de uitkomsten in deze drie hoofdstukken, hebben wij vervolgens de verschillen<br />
en overeenkomsten tussen aspecten die een rol spelen bij de uitvoering van IT en operational audits in beeld<br />
gebracht (Hoofdstuk 5).<br />
Voor de beantwoording van de tweede subvraag hebben wij een praktijkonderzoek uitgevoerd. Hiervoor hebben<br />
wij een vragenlijst opgesteld, welke mede is gebaseerd op verschillen en overeenkomsten tussen IT en<br />
operational auditing zoals opgenomen in Hoofdstuk 5. Deze vragenlijst hebben wij afgenomen bij twee interne<br />
audit organisaties, namelijk één met en één zonder gescheiden IT en operational audit functies. De opzet en de<br />
resultaten van het onderzoek zijn uitgewerkt in Hoofdstuk 6.<br />
Aan de hand van de resultaten van de literatuurstudie en de uitkomsten van het praktijkonderzoek, hebben wij<br />
tenslotte geprobeerd tot een antwoord te komen op de hoofdvraag. Namelijk wat het optimale model van<br />
inrichting van de interne audit functie is, gegeven het onderscheid in uitvoering van IT en operational audits. Dit<br />
antwoord wordt uitgewerkt in Hoofdstuk 7 (Conclusies en aanbevelingen).<br />
4
2 Auditing in het algemeen<br />
2.1 Inleiding<br />
In dit hoofdstuk zullen wij ten behoeve van de beantwoording van de eerste subvraag dieper ingaan op de<br />
aspecten die een rol spelen bij de uitvoering van audits in het algemeen en op de eisen die worden gesteld aan de<br />
auditors. Voordat we daartoe overgaan, zullen we echter eerst aandacht besteden aan de diverse soorten audits die<br />
onderscheiden kunnen worden. Bij het lezen van personeelsadvertenties valt namelijk op dat de term ‘auditing’<br />
voor verschillende soorten onderzoeken wordt gebruikt. Voor een kwaliteitsmeting (een kwaliteitsaudit), een<br />
milieukundig onderzoek (een milieu audit), een jaarrekening controle (financial audit) of een onderzoek naar het<br />
niveau van informatiebeveiliging (IT audit). Hoewel de onderzoeksobjecten verschillen, hebben al deze<br />
benamingen als gemeenschappelijk kenmerk dat ze gericht zijn op de uitvoering van een onderzoek welke als<br />
doel heeft het geven van een oordeel over dat object. Dit blijkt ook uit de omschrijving van De Korte (2004) van<br />
het vakgebied auditing: “Een onderzoek naar de overeenkomsten tussen de waargenomen werkelijkheid en de<br />
vooraf gedefinieerde norm met als doel het geven van een oordeel aan de opdrachtgever”. Door het uitvoeren van<br />
een audit, kan de onzekerheid gereduceerd worden over de beheersing (van de organisatie) van het<br />
onderzoeksobject.<br />
2.2 Soorten audits<br />
2.2.1 Financial, IT en operational audits<br />
De behoefte aan auditing is ontstaan vanuit de behoefte van organisaties en het maatschappelijk verkeer aan<br />
onafhankelijke controle. Binnen de diverse audit vormen is die van financial auditing, ofwel accountancy, de<br />
oudste. Naast de controle van de jaarcijfers, kijkt zij tevens naar de wijze waarop de administratieve processen de<br />
betrouwbaarheid van die jaarcijfers kunnen garanderen. Vanuit financial auditing zijn de andere vormen van<br />
auditing ontstaan. Zo komt IT, of EDP, auditing voort uit het toenemende gebruik van geautomatiseerde<br />
systemen binnen de administratie en de algemene bedrijfsprocessen. Omdat het voor de accountant steeds<br />
belangrijker werd dat hij ook kon vertrouwen op de betrouwbaarheid en integriteit van de systemen, ontstond de<br />
behoefte aan controle van de systemen. Operational auditing kent haar oorsprong meer vanuit de bedrijfskunde<br />
en richt zich met name op de doorlichting van de interne organisatie van een onderneming en de algemene<br />
procesbeheersing. Vanuit de behoefte aan het “in control” zijn, biedt operational auditing het management<br />
ondersteuning bij de beheersing van de bedrijfsprocessen.<br />
2.2.2 Product- en procesaudits<br />
Bij een productaudit is een product, resultaat of uitkomst van een proces het object van onderzoek en bij een<br />
procesaudit een proces gericht op de totstandkoming van een product (Kocks, 2003). Productaudits worden ook<br />
wel resultaataudits genoemd en procesaudits ook wel systeem- of organisatieaudits. Hartog en Van der Kerk<br />
(1999) beschrijven het onderscheid tussen deze twee soorten audits door te zeggen dat in een systeemaudit wordt<br />
gekeken naar de maatregelen die de kwaliteit van de uitkomsten moeten waarborgen en in een resultaataudit naar<br />
de kwaliteit van de uitkomsten zelf. Een voorbeeld van een productaudit is dan een (operational) audit van een<br />
milieuverslag of een (IT) audit van een applicatie en een voorbeeld van een procesaudit een (operational en IT)<br />
audit naar het stelsel van beheersingsmaatregelen binnen een organisatie.<br />
Dat het echter moeilijk is een duidelijk onderscheid te maken tussen een product- en procesaudit, geeft Kocks (2003)<br />
naar onze mening terecht aan door te zeggen dat de blauwdruk van een proces in feite ook een product is en er<br />
derhalve ook bij een procesaudit sprake is van een productaudit. Ondanks deze in elkaar overlopende definities van<br />
een proces- en productaudits, zullen wij in het vervolg van deze <strong>scriptie</strong> toch het onderscheid tussen deze twee soorten<br />
audits terug laten komen, en wel conform de in de vorige paragraaf gegeven typeringen.<br />
5
2.2.3 Interne en externe audits<br />
Binnen auditing valt nog een ander onderscheid te maken, namelijk tussen interne en externe audits waarbij<br />
interne audits door de organisatie zelf worden uitgevoerd en externe audits door een externe partij. Vroeger<br />
waren externe audits met name gericht op het uitvoeren van financial audits en interne audits op IT en operational<br />
audits. Dit kwam voort vanuit de behoefte van organisaties om de interne processen dusdanig te beheersen en te<br />
controleren, dat op het moment dat de externe controle plaatsvond geen noemenswaardige afwijkingen aan het<br />
licht zouden komen. Momenteel richten zowel interne als externe audits zich op financial, IT en operational<br />
audits.<br />
Een ander veel gehanteerde term is internal auditing. Hoewel ze qua benaming sterk op elkaar lijken, zijn interne<br />
en internal auditing echter niet exact hetzelfde. Daar waar internal auditing vaak in één adem wordt genoemd met<br />
operational auditing, vallen zoals we hierboven al zagen onder interne auditing ook financial en IT audits. Dat<br />
internal auditing meer neigt naar operational auditing, komt ook tot uiting in de definitie van internal auditing van<br />
de Institute of Internal Auditors: “Internal auditing is an independent, objective assurance and consulting activity<br />
designed to add value and improve an organization's operations. It helps an organization accomplish its<br />
objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk<br />
management, control, and governance processes”.<br />
Om verwarring te voorkomen zullen wij in deze <strong>scriptie</strong> daarom het begrip internal auditing niet hanteren, maar<br />
spreken over interne en operational auditing. Aangezien deze <strong>scriptie</strong> zich specifiek richt op IT en operational<br />
audit functies binnen interne audit organisaties, zullen wij ons in het vervolg van deze <strong>scriptie</strong> nog alleen op deze<br />
twee audit vormen richten en financial auditing verder buiten beschouwing laten.<br />
2.3 Uitvoering van de audit<br />
2.3.1 Objecten van onderzoek<br />
Met een audit wordt een oordeel gegeven over het object van onderzoek, bijvoorbeeld een IT systeem bij een IT<br />
audit of een bedrijfsproces bij een operational audit. Van het object kan achtereenvolgens worden gekeken naar<br />
de opzet, het bestaan en de werking. Met de toetsing van de opzet wordt een oordeel gegeven over de aard van<br />
het object. Met andere woorden, over alle kenmerken die maken dat het object is zoals het is. Zodra de opzet is<br />
vastgesteld, kan worden getoetst of de feitelijke situatie op dat moment ook in overeenstemming is met die opzet.<br />
Dit betreft de toetsing van het bestaan van het object. Indien er wordt gekeken naar het functioneren van het<br />
object over een langere periode, betreft het de toetsing van de werking van dat object.<br />
2.3.2 Aspecten<br />
Bij het toetsen van de opzet, het bestaan en de werking van een object spelen de aspecten (de kwaliteitsaspecten)<br />
en de normen van waaruit wordt getoetst een belangrijke rol. Aangezien dit universele facetten van een<br />
onderzoek zijn, geldt dit bij alle soorten audits. Echter, de aard van de kwaliteitsaspecten waarover een oordeel<br />
wordt uitgesproken en de normen waaraan wordt getoetst, kunnen natuurlijk wel per object en daarmee per type<br />
audit verschillen. Daarnaast is het van belang de kwaliteitsaspecten duidelijk te definiëren en te verklaren.<br />
Kwaliteitsaspecten kunnen uiteen vallen in subaspecten. Als er sprake is van subaspecten zal bepaald moeten<br />
worden hoe de subaspecten onderling samenhangen en bijdragen tot het gekozen kwaliteitsaspect. De<br />
kwaliteitsaspecten kunnen in bepaalde gevallen in verband worden gebracht met het verschil tussen product en<br />
proces audits. Bepaalde kwaliteitsaspecten kunnen namelijk wel gelden voor een proces maar niet voor een<br />
product, en vice versa.<br />
2.3.3 Normen<br />
Om een audit te kunnen uitvoeren zijn normen noodzakelijk. Normen zijn nodig om de werkelijkheid te kunnen<br />
vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Normen kunnen worden ontleend aan<br />
zowel interne als externe bronnen. Interne bronnen zijn bijvoorbeeld de binnen de organisatie geldende regels en<br />
procedures. Externe bronnen kunnen de binnen een vakgebied geaccepteerde wetten en regels zijn en de in<br />
afgesloten contracten opgenomen bepalingen (VU, 2006). Echter, normen kunnen zowel objectief als subjectief<br />
6
zijn. Objectieve normen zijn gebaseerd op algemeen aanvaarde en geldende theorieën. Subjectieve normen<br />
worden bepaald door een persoon of een groep en zijn derhalve niet geheel vrij van persoonlijke beïnvloeding.<br />
De normen die tijdens een audit worden gebruikt dienen altijd objectief te zijn.<br />
Vervolgens kan er binnen de (objectieve) normen onderscheidt gemaakt worden tussen uitvoeringsnormen en<br />
toetsingsnormen. Uitvoeringsnormen geven voorschriften over de uitvoering van een audit. Toetsingsnormen zijn<br />
normen op basis waarvan het audit object wordt beoordeeld (Van Praat en Suerink, 2004). Hierbij kan worden<br />
gedacht aan wettelijke normen, richtlijnen en aanbevelingen. Behalve de voorgaande normen kan er ook<br />
onderscheid gemaakt worden tussen productnormen en procesnormen. Productnormen zijn de criteria waaraan<br />
een product moet voldoen. Procesnormen worden op het niveau gehanteerd van het proces waar een individueel<br />
product wordt gerealiseerd.<br />
2.3.4 Audit fases<br />
Iedere type audit, of het nu bijvoorbeeld een IT of een operational audit is, kent een aantal fases. Er zijn<br />
verschillende modellen waarin deze fases worden uitgewerkt. Een overzichtelijk model is het zes stappenmodel<br />
van Driessen en Molenkamp (2004), dat er als volgt uit ziet:<br />
Planning<br />
Vooronderzoek<br />
Figuur 1: Zes stappenmodel van Driessen en Molenkamp<br />
Veldwerk Evaluatie<br />
Rapportage Follow-up<br />
Binnen dit model kunnen de zes stappen volgens hen niet los van elkaar worden gezien. Ze lopen in elkaar over<br />
en terugkoppelingen zijn altijd mogelijk als gevolg van bepaalde bevindingen. Alleen ten aanzien van veldwerk<br />
en rapportage moet volgens Driessen en Molenkamp voorzichtigheid worden betracht ten aanzien van het<br />
hanteren van een dergelijk iteratief proces.<br />
Hieronder volgt een beschrijving van de zes stappen zoals zij die definiëren:<br />
De planningsfase begint volgens hen met het audit jaarplan. Daarin moet in ieder geval worden aangegeven wat<br />
de objecten van onderzoek zullen zijn, wie de auditee is, wat de audit doelstellingen zullen zijn, wanneer de<br />
audits moet worden uitgevoerd en welke audit capaciteit zal moeten worden aangewend. Op basis van dit<br />
jaarplan wordt vervolgens voor iedere afzonderlijke audit een gedetailleerde audit plan opgesteld, waarin voor die<br />
audit wordt uitgewerkt hoe de auditors de audit zullen uitvoeren. Dit audit plan is gebaseerd op het jaarplan, de<br />
uitkomsten van desk research en de reeds aanwezige kennis en ervaring met het object van onderzoek.<br />
In de vooronderzoekfase verzamelen de auditors informatie over het geldende beleid van de organisatie, de aan<br />
het object te stellen eisen en de kaderstellingen zoals regelgeving en systemen. Het gaat hierbij dus om zowel<br />
algemene, organisatie gerichte informatie (bijv. organisatieschema en de centrale regels) als om object specifieke<br />
informatie (bijv. functie-, product- en systeembeschrijvingen, rapportages, procedures en contracten). Uit de<br />
verzamelde gegevens moeten bovendien die maatstaven en maatregelen worden geselecteerd die iets zeggen over<br />
de te verwachten kwaliteit van beheersing van het onderzoeksobject, en die de normen vormen voor het<br />
management. Normen die de auditor kan gebruiken voor zijn oordeelsvorming. Met behulp van deze verzamelde<br />
informatie kan de auditor ook zelf een referentiemodel opstellen, waarin hij de gewenste beheersingssituatie van<br />
het onderzoeksobject schetst. Dit model moet wel met het management worden afgestemd voordat het veldwerk<br />
begint.<br />
Een ander onderdeel van de vooronderzoekfase betreft volgens Driessen en Molenkamp de aankondiging van de<br />
audit. Hiermee worden de proceseigenaar, het betrokken management en de medewerkers op de hoogte gesteld<br />
van de inhoud en de doorlooptijd van de geplande audit. Voor deze fase moet voldoende tijd worden vrijgemaakt,<br />
aangezien de resultaten hiervan (namelijk inzicht in doelstellingen en uitgangspunten en een normenkader)<br />
noodzakelijk zijn om de volgende fase, het veldwerk, te kunnen starten.<br />
7
De veldwerkfase bestaat volgens hen uit alle activiteiten gericht op het verzamelen van gegevens. Gegevens die<br />
de auditor nodig heeft om bevindingen te kunnen formuleren (een beschrijving van de aangetroffen situatie ten<br />
opzichte van de norm) en conclusies en aanbevelingen ter verbetering te kunnen doen. Onderzoeksmiddelen die<br />
kunnen worden gebruikt zijn het inwinnen van inlichtingen, het opvragen van bewijsstukken en andere<br />
vastleggingen en het doen van eigen waarnemingen.<br />
In de rapportagefase wordt eerst een concept<strong>versie</strong> van het audit rapport opgesteld. Deze bevat de bevindingen,<br />
de conclusies en de aanbevelingen uit de veldwerkfase. Vervolgens wordt het conceptrapport besproken met de<br />
auditees, de proceseigenaar en de opdrachtgever. Tijdens deze bespreking wordt vastgesteld of de bevindingen<br />
van de auditors correct en volledig zijn en of de aanbevelingen worden gedragen door het management. Na deze<br />
bespreking wordt het <strong>definitieve</strong> audit rapport opgesteld. Dit rapport zal ook een oordeel bevatten over de<br />
aangetroffen kwaliteit van beheersing, welke vaak een optelsom is van oordelen over de afzonderlijke<br />
bevindingen, en een actieplan voor het management.<br />
Tijdens de evaluatiefase wordt de uitgevoerde audit geëvalueerd door de audit afdeling. Bij deze evaluatie gaat<br />
het om het proces van de uitgevoerde audit en de feitelijke inhoud van de audit. De input hiervoor kan zowel door<br />
de auditors als door de auditees en de proceseigenaar worden geleverd. Het doel van een dergelijke evaluatie is<br />
het bevorderen van de kwaliteit van de audit afdeling zelf.<br />
Met de follow-up wordt tenslotte nagegaan of het actieplan ook daadwerkelijk is uitgevoerd door het<br />
verantwoordelijk management. Deze follow-up kan de vorm hebben van een toetsing per actiepunt of een followup<br />
audit waarin meerdere actiepunten worden getoetst.<br />
2.4 De auditor<br />
2.4.1 Beroepsorganisaties<br />
De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de<br />
auditors opereren. Voor IT auditors is de Nederlandse Orde van Register EDP-Auditors (NOREA) de betrokken<br />
beroepsorganisatie. Voor operational auditors is het de Vereniging van Register Operational auditors (VRO) en<br />
voor internal (operational) auditors de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL).<br />
De Nederlandse sectie van de IIA bestaat sinds 1997 en is de beroepsvereniging voor Internal auditors.<br />
Voorwaarden voor lidmaatschap zijn het werkzaam zijn als Internal auditor, ingeschreven zijn in een van de audit<br />
registers van VRO, NIVRA, NOREA , NOvAA en IIA en minimaal drie jaar werkervaring hebben in Internal<br />
audit. Lidmaatschap van de IIA NL geeft geen recht op een specifieke titel. Als haar hoofdtaken ziet de IIA NL:<br />
1. Het behartigen van de belangen van de leden. Zij wil de kwaliteit van de beroepsuitoefening bevorderen<br />
en bewaken, zorgen voor promotie van het beroep en het vakgebied, informatie verschaffen en de<br />
Internal auditor op de hoogte houden van de nieuwste ontwikkelingen;<br />
2. Zorgen voor kwaliteitsbewaking. Hiertoe ontwikkelt zij standaarden voor beroepsuitoefening en<br />
deskundigheidseisen, verricht zij onderzoek en publiceert zij onderzoeksrapporten en biedt zij<br />
vaktechnische ondersteuning ten aanzien van kwaliteitszorg en praktijkvraagstukken;<br />
3. Bevorderen van (permanente) educatie. De IIA NL brengt adviezen uit op het gebied van opleidingen,<br />
het verzorgt de aansluiting van de Nederlandse beroepsopleidingen op de Amerikaanse opleiding ter<br />
voorbereiding op het examen voor het behalen van de wereldwijd erkende titel 'Certified Internal<br />
Auditor' (CIA);<br />
4. Het delen van kennis. Dit doet zij onder andere via het tijdschrift ‘Audit Magazine’, de website en het<br />
vakblad ‘The Internal Auditor’ en het organiseren van seminars en trainingen;<br />
5. Profileren van het vak. Het IIA NL wil een positieve beeldvorming over het vak realiseren en bewaken<br />
en ziet interne eenduidigheid en consensus als belangrijke factoren voor succes.<br />
8
In maart 2007 hebben de VRO en de IIA een integratieovereenkomst gesloten, wat tot vergaande samenwerking<br />
moet leiden. Daarom zullen wij de eisen welke gesteld worden door de IIA aan de auditor behandelen in het<br />
hoofdstuk over operational auditing (Hoofdstuk 4).<br />
2.4.2 Eisen aan de auditor<br />
Vanuit de oordelende rol die auditors vervullen, kunnen een aantal algemene eisen worden onderscheiden die aan<br />
de auditor worden gesteld. Eisen vanuit de beroepsorganisaties zijn onder andere deskundigheid, objectiviteit,<br />
onafhankelijkheid en onpartijdigheid. Deze eisen zullen we uitgebreid behandelen in de hoofdstukken over IT<br />
audit en operational audit (respectievelijk Hoofdstuk 3 en 4).<br />
2.5 Tot slot<br />
In deze <strong>scriptie</strong> kijken wij welke aspecten die een rol spelen bij de uitvoering van IT en operational audits van<br />
invloed zijn op de inrichting van audit functies binnen een interne audit afdeling. In dit hoofdstuk hebben wij ons<br />
gericht op auditing in het algemeen teneinde een antwoord te kunnen geven op het eerste gedeelte van de eerste<br />
subvraag, namelijk: “Welke aspecten spelen een rol bij de uitvoering van een audit?”. Daarbij hebben wij ons<br />
gericht op de verschillende soorten audits die onderscheiden kunnen worden, de algemene aspecten die een rol<br />
spelen bij de daadwerkelijke uitvoering van een audit en de eisen die worden gesteld aan de uitvoerders van de<br />
audits, de auditors.<br />
Wij hebben gezien dat er verschillende soorten audits kunnen worden onderscheiden, namelijk interne en externe<br />
audits, product en proces audits en financial, IT en operational audit. Aspecten die een rol spelen bij de uitvoering<br />
van audits bleken te zijn de objecten, de kwaliteitsaspecten, de normen en de audit fases. Bij de behandeling van<br />
het onderdeel ‘auditors’ zijn wij met name ingegaan op de verschillende beroepsorganisaties voor IT, operational<br />
en internal auditors.<br />
Aangezien wij ons in deze <strong>scriptie</strong> richten op de uitvoering van interne IT en operational audits, zullen wij in de<br />
volgende twee hoofdstukken dieper ingaan op die aspecten waarvan wij, op basis van datgene wat wij in dit<br />
hoofdstuk hebben behandeld, verwachten dat IT en operational auditing de meeste verschillen vertonen. Namelijk<br />
de soorten audits, de objecten, de kwaliteitsaspecten, de normen en de auditors. Omdat het bij de audit fases niet<br />
uitmaakt of het een IT of een operational audit betreft, zullen wij dit aspect niet behandelen in de komende twee<br />
hoofdstukken. In Hoofdstuk 5 zullen wij vervolgens de verschillen en de overeenkomsten tussen IT en<br />
operational auditing wat betreft deze elementen vaststellen.<br />
9
3 IT auditing<br />
3.1 Inleiding<br />
Zoals eerder aangegeven is het vakgebied van IT auditing ontstaan vanuit de behoefte om meer zekerheid te<br />
verkrijgen over het gebruik van geautomatiseerde systemen binnen de administratieve organisatie en de<br />
automatiseringsorganisatie zelf. Binnen het vakgebied is er nog geen eenduidigheid over de inhoud ervan. Dit<br />
blijkt ook uit de verschillende definities voor IT auditing die in gebruik zijn.<br />
Van Biene-Hershey (1996) definieert IT auditing als volgt: “An independent and impartial assessment leading to<br />
a clear opinion about information systems, cybernetic systems, technical systems as they are used by the<br />
enterprise; as well as all parts of the organisation with any relationship to those systems; in particular those parts<br />
of the organisation responsible for developing, maintaining, introducing and operating automated systems, as<br />
well as the management of the infrastructures relied upon by the enterprise.” En “This definition emphasises the<br />
scope of the objects of the assessment process because the character of the objects of the audit are the reason why<br />
it is referred to as IT Auditing and not some other type of audit”.<br />
Volgens de NOREA (2003) is IT audit: “de discipline die zich bezig houdt met het beoordelen van en adviseren<br />
over de kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatietechnologie ten<br />
behoeve van de beheersing daarvan”.<br />
Van Praat en Suerink (2004) spreken over EDP auditing, waarvoor zij de volgende definitie geven: “Het<br />
vakgebied dat zich bezighoudt met de beoordeling en advisering bij objecten van de informatievoorziening in een<br />
omgeving waar gebruik wordt gemaakt van de automatisering. Het doel hiervan is kwalitatief en/of kwantitatief<br />
een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van<br />
de opdrachtgever gerealiseerd worden”.<br />
Bij deze drie verschillende definities vallen een aantal zaken op:<br />
1- Het doel van de audit wordt in uiteenlopende mate gespecificeerd. Waar Van Biene-Hershey alleen<br />
spreekt over het verkrijgen van een duidelijke mening over de systemen, gaat het voor de NOREA om de<br />
beheersing van de kwaliteit van de informatieverwerking. Van Praat en Suerink gaan nog een stap verder<br />
door te zeggen dat het gaat om het leveren van een kwalitatieve en/of kwantitatieve bijdrage aan een<br />
adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever<br />
worden gerealiseerd;<br />
2- De soorten van werkzaamheden die onder IT auditing vallen, verschillen. Volgens zowel de NOREA als<br />
Van Praat en Suerink gaat het bij IT auditing om het beoordelen en het adviseren. Dit in tegenstelling tot<br />
Van Biene-Hershey, die alleen spreekt over het doen van een onafhankelijke en zelfstandige beoordeling;<br />
3- Hoewel globaal hetzelfde, zijn de onderzoeksobjecten in de drie definities niet helemaal gelijk. Van<br />
Biene-Hershey is het meest expliciet door als onderzoeksobjecten de verschillende soorten systemen het<br />
benoemen (namelijk informatie systemen, cybernetische systemen en technische systemen), maar ook de<br />
onderdelen van de organisatie die in relatie staan tot die systemen. Dit in tegenstelling tot de NOREA en<br />
Van Praat en Suerink, die beiden in min of meer gelijke termen spreken over het onderzoeksobject. Bij<br />
de NOREA gaat het namelijk om de” kwaliteit van de informatieverwerking in een omgeving waarin<br />
sprake is van informatietechnologie”. En bij Van Praat en Suerink om “objecten van de<br />
informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering”.<br />
Vanwege de wijze waarop zij het object van onderzoek omschrijven, een belangrijk onderdeel van onze <strong>scriptie</strong>,<br />
zullen wij in het vervolg uitgaan van de definitie zoals Van Praat en Suerink die hanteren.<br />
In de volgende paragrafen zullen wij, conform de opzet in het hoofdstuk ‘Auditing in het algemeen’, dieper<br />
ingaan op de soorten IT audits, de aspecten die een rol spelen bij de uitvoering van IT audits en de IT auditor.<br />
10
3.2 Soorten IT audits<br />
Van Biene-Hershey (1996) voegde bij haar definitie van IT auditing toe dat juist het object van onderzoek<br />
datgene is dat IT auditing onderscheid van andere disciplines. In samenhang met de verschillende soorten<br />
systemen, onderscheidt zij drie soorten IT audits: technical, (information) system en cybernetic auditing. Dit<br />
onderscheid heeft zij gebaseerd op de verschillende soorten systemen en de daarvoor benodigde expertise. Onder<br />
technische systemen vallen volgens haar de besturingssystemen, database management systemen en<br />
telecommunicatie software. Informatiesystemen zijn de computer programma’s die als voornaamste doel hebben<br />
om data te produceren voor menselijk gebruik en cybernetische systemen zijn alle geautomatiseerde systemen die<br />
zijn gebouwd om machines te besturen zoals robots en satellieten. Voor iedere soort systeem onderscheid Van<br />
Biene-Hershey ook een specialistische auditor, dat wil zeggen een technical, een system en een cybernetic<br />
auditor. Een vierde soort auditor die zij hier aan toevoegt betreft de computer centre auditor. Daar waar de andere<br />
drie auditors naar de ontwikkeling van de systemen kijken, richt de computer centre auditor zich volgens haar op<br />
de uitvoering van de dagelijkse werkzaamheden in het computer centrum. De system auditors kijken bovendien<br />
niet alleen naar de informatie systemen, maar ook naar de gebruikersorganisatie.<br />
Een andere indeling van soorten IT audits, is die welke uitgaat van specialismen binnen IT audits. Wat deze<br />
specialismen van elkaar onderscheiden, zijn echter vooral de objecten van onderzoek.<br />
Te denken valt daarbij aan bijvoorbeeld audits gericht op IT projecten, forensische IT audits, General IT Controls<br />
audits en beveiliging- en privacy audits.<br />
Wanneer we de hierboven genoemde soorten IT audits vertalen naar proces- en productaudits, een indeling<br />
waarvan we in het vorige hoofdstuk hebben gezien dat die ook kan worden gehanteerd bij soorten audits, dan<br />
zien we de volgende verdeling:<br />
• Procesaudits: de audits naar de uitvoering van werkzaamheden in het computer centrum, naar de<br />
gebruikersorganisatie en de General IT Controls audits;<br />
• Productaudits: de audits naar de technische systemen, de informatie systemen (de applicaties) en de<br />
cybernetische systemen.<br />
Sommigen van de hierboven genoemde soorten audits kunnen echter niet specifiek als een proces- of als een<br />
productaudit worden getypeerd. Afhankelijk van de verdere uitwerking van het onderzoek kunnen zij namelijk in<br />
beide categorieën worden ingedeeld. Voorbeelden hiervan zijn de beveiliging- en privacy audits en de project<br />
audits.<br />
3.3 Uitvoering van de IT audit<br />
3.3.1 Objecten van onderzoek<br />
Van Praat en Suerink (2004) verdelen objecten van onderzoek van IT audits over de volgende vier<br />
hoofdcategorieën:<br />
1. Organisatie van de informatievoorziening;<br />
2. Informatiesystemen en systeemontwikkeling;<br />
3. Technische infrastructuur;<br />
4. Informatiebeveiliging.<br />
Daarbij vallen onder organisatie van de informatievoorziening bijvoorbeeld de strategiebepaling voor de<br />
organisatie, de inrichting van de bedrijfsprocessen, projectrealisatie en wet- en regelgeving. Zijn objecten binnen<br />
informatiesystemen de computerprogramma’s, de organisatie en structuur van de systeemontwikkeling en de<br />
processen binnen systeemontwikkeling. Vallen onder technische infrastructuur de organisatie van het beheer van<br />
de technische infrastructuur, de processen met betrekking tot het beheer van de technische infrastructuur, de<br />
besturingssystemen, databases en datacommunicatie. Objecten binnen informatiebeveiliging zijn de externe en de<br />
logische toegangsbeveiliging, de fysieke beveiliging en de organisatie met betrekking tot de toegangsbeveiliging.<br />
11
Ook deze vier categorieën van objecten kunnen we verdelen over proces- en productaudits:<br />
Organisatie van de<br />
informatie voorziening<br />
Processen Strategie van de<br />
organisatie;<br />
Inrichting van de<br />
bedrijfsprocessen;<br />
Wet- en regelgeving<br />
Informatiesystemen en<br />
systeemontwikkeling<br />
Organisatie en structuur<br />
van systeem<br />
ontwikkeling;<br />
Processen binnen systeem<br />
ontwikkeling<br />
Technische<br />
infrastructuur<br />
Organisatie en beheer van<br />
technische infrastructuur;<br />
Processen m.b.t. beheer<br />
technische infrastructuur<br />
Producten Projectrealisatie Computerprogramma’s Besturingssystemen;<br />
Databases;<br />
Datacommunicatie<br />
systemen<br />
Figuur 2: De onderverdeling van IT audit objecten<br />
Informatiebeveiliging<br />
Organisatie m.b.t.<br />
toegangsbeveiliging<br />
Externe en logische<br />
toegangsbeveiliging,<br />
fysieke beveiliging<br />
Bij procesaudits kan de opzet, bestaan en werking worden vastgesteld, bij productaudits de opzet en bestaan.<br />
Producten functioneren in een omgeving of een proces. Het proces waarborgt dat een product (bv. een<br />
informatiesysteem) goed werkt. Voor de opzet zal de aanwezige documentatie worden geraadpleegd en eventueel<br />
aanvullende gesprekken worden gevoerd. Hiermee kan men meer inzicht krijgen in de manier waarop het object<br />
is ingericht en kan de auditor hier een oordeel over geven. Vanuit de opdracht voor een audit worden veelal<br />
normen meegegeven die het uitgangspunt vormen voor het uitvoeren van de audit. Deze normen zijn vaak<br />
generiek van karakter en dienen nader geconcretiseerd te worden. Als er inderdaad sprake is van een als<br />
voldoende beoordeelde opzet, kan de auditor deze opzet als norm gebruiken om vast te stellen of het ook<br />
inderdaad als zodanig in de organisatie is ingevoerd. Hiermee toetst hij het bestaan van het object. Bij het<br />
vaststellen van het bestaan gaat het erom vast te stellen of de feitelijke situatie in overstemming is met de opzet.<br />
Mocht de feitelijke situatie niet overeenkomen met de opzet dan moeten de afwijkingen getoetst worden aan de<br />
algemene normen van de opdracht. Een veel gebruikte methode om het bestaan van IT objecten te toetsen is het<br />
uitvoeren van lijncontroles, ofwel het volledig na lopen van een IT object met als doel het vaststellen of alle<br />
handelingen worden uitgevoerd in overeenstemming met de opzet.<br />
Wanneer wordt geoordeeld dat de opzet voldoende binnen de organisatie is ingevoerd, dan kan de werking<br />
worden getoetst. Hierbij wordt er gekeken of het object functioneert (werkt) conform het bestaan. Ook hier zijn<br />
de algemene normen leidend en wordt er aan de hand van deze normen vastgesteld of eventuele afwijkingen van<br />
de bestaansvaststelling acceptabel zijn, teneinde een oordeel te kunnen vormen.<br />
3.3.2 Aspecten<br />
Aspecten die bij IT auditing een belangrijke rol spelen zijn effectiviteit, efficiency, betrouwbaarheid en<br />
continuïteit (VU, 2006). Effectiviteit is in dit kader de mate waarin de geplande activiteiten worden gerealiseerd<br />
en geplande resultaten worden behaald. Efficiency betreft de verhouding tussen de behaalde resultaten en de<br />
gebruikte middelen. Betrouwbaarheid betreft in dit verband de juistheid, tijdigheid en volledigheid van de<br />
informatie (verwerking of voorziening). Continuïteit wordt beschouwd als de mate waarin de<br />
gegevensverwerking ongestoord voortgang vindt.<br />
Volgens Van Praat en Suerink (2004) kunnen kwaliteitsaspecten worden onderverdeeld in kwaliteitsattributen.<br />
De reden hiervoor is het feit dat het geven van een oordeel over een onderzoeksobject met behulp van<br />
kwaliteitsaspecten kan leiden tot problemen. Deze problemen ontstaan wanneer er een motivatie nodig is om aan<br />
te geven waarom een bepaald object niet betrouwbaar is. Daarom is voor ieder kwaliteitsaspect een<br />
onderverdeling gemaakt in kwaliteitsattributen. Binnen het kwaliteitsaspect effectiviteit worden onder andere de<br />
attributen onderhoudbaarheid, herbruikbaarheid en geschiktheid van de infrastructuur benoemd.<br />
Kwaliteitsattributen binnen het kwaliteitsaspect efficiency zijn onder andere gebruikersvriendelijkheid en<br />
flexibiliteit. Juistheid, volledigheid en tijdigheid zijn onder andere kwaliteitsattributen binnen het kwaliteitsaspect<br />
betrouwbaarheid. Ten aanzien van het kwaliteitsaspect continuïteit zijn het onder andere de kwaliteitsattributen<br />
herstelbaarheid en uitwijkmogelijkheid.<br />
12
3.3.3 Normen<br />
Zoals reeds eerder beschreven, zijn normen nodig om de werkelijkheid te kunnen vergelijken met een criterium<br />
waarover vooraf afspraken zijn gemaakt. Volgens Van Praat en Suerink (2004) kan er onderscheid worden<br />
gemaakt tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de wijze<br />
waarop audit uitgevoerd moeten worden. In de statuten, reglementen, richtlijnen en aanbevelingen van de<br />
NOREA zijn de belangrijkste uitvoeringsnormen vastgelegd.<br />
Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld.<br />
Algemene, veel gebruikte toetsingsnormen binnen de IT zijn CobiT, ITIL, Code voor Informatiebeveiliging,<br />
Capability Maturity Model en Prince2. Normen vanuit de wetgeving zijn bijvoorbeeld de Wet Bescherming<br />
Persoonsgegevens en de Wet Computercriminaliteit.<br />
CobiT is ontwikkeld vanuit een audit oogpunt voor het beheren van de informatietechnologie in organisaties.<br />
CobiT is opgebouwd uit een viertal domeinen, binnen deze domeinen zijn diverse processen en activiteiten<br />
gedefinieerd.<br />
ITIL (Information Technology Infrastructure Library) heeft als doel het bieden van ondersteuning bij het<br />
verbeteren van de efficiency en effectiviteit van de IT dienstverlening en het beheer van de IT Infrastructuur in<br />
organisaties. ITIL bestaat uit 7 sets op strategisch, tactisch en operationeel niveau. In de praktijk zijn meestal de<br />
Service Delivery en Service Support sets binnen een IT organisatie geïmplementeerd.<br />
De Code voor Informatiebeveiliging is oorspronkelijk ontwikkeld in het Verenigd Koninkrijk waar een aantal<br />
grote organisatie in het bedrijfsleven hun dagelijkse praktijk t.a.v. informatiebeveiliging hebben vastgelegd. Deze<br />
vastlegging (Code of Practice for Information Security) is later door het ministerie van Economische Zaken en in<br />
samenwerking met een groep bedrijven en organisaties in Nederland overgenomen. Inmiddels is de Code voor<br />
Informatiebeveiliging een algemeen aanvaarde standaard als het gaat om informatiebeveiliging. De code heeft als<br />
doel het verschaffen van een gemeenschappelijke basis voor bedrijven van waaruit deze effectieve codes voor<br />
informatiebeveiliging kunnen ontwikkelen, implementeren en meten en daarnaast het bevorderen van het<br />
vertrouwen in het handelsverkeer tussen bedrijven.<br />
Het Capability Maturity Model (CMM) is een model dat gebruikt wordt om verschillende niveaus in<br />
volwassenheid van het systeemontwikkelingsproces aan te merken. CMM bestaat uit 5 niveaus en ieder niveau<br />
bevat een reeks procesdoelen die kenmerkend zijn voor de betreffende fase van het systeemontwikkelingsproces.<br />
Prince2 is een procesmethodiek en heeft als doel het bieden van een structuur met richtlijnen en hulpmiddelen<br />
voor het beheerst opstarten, uitvoeren en afronden van projecten. Prince2 bestaat uit een achttal hoofdprocessen<br />
en een achttal componenten.<br />
3.4 De IT auditor<br />
3.4.1 Beroepsorganisatie<br />
De NOREA is de beroepsorganisatie voor IT auditors. De NOREA waakt over de deskundigheid van haar leden<br />
en bindt hen tevens aan regels voor de beroepsuitoefening. De NOREA kent op dit moment 1300 leden en ruim<br />
500 aspirant leden.<br />
Toelating tot de NOREA is mogelijk wanneer een kandidaat is afgestudeerd aan een erkende (post) universitaire<br />
opleiding tot IT auditor en daarnaast over minimaal 3 jaar beroepservaring beschikt. Na inschrijving mogen de<br />
kandidaten de beschermde deskundigheidsaanduiding ‘RE’ voeren.<br />
Volgens het jaarboek 2006/2007 van de NOREA is de doelstelling van deze organisatie drieledig:<br />
1. Het bevorderen van de kwaliteit van de beroepsuitoefening door de leden. De NOREA werkt deze<br />
doelstelling als volgt uit:<br />
• Beroepsreglementering: alle RE’s dienen zich te houden aan de Gedrags- en Beroepsregels<br />
(‘Code of Ethics’) en de daaruit voortvloeiende nadere beroepsreglementering in de vorm van<br />
13
specifieke Reglementen, Richtlijnen en Aanbevelingen. De actualiteit van de relevante gedrags-<br />
en beroepsregels wordt bewaakt door de Raad voor Beroepsethiek;<br />
• Bewaking van de kwaliteit van de instroom van nieuwe RE’s. De Commissie van Toelating is<br />
hiermee belast;<br />
• Tuchtrecht: de NOREA kent een Raad van Tucht. Deze is belast met de behandeling van<br />
klachten die tegen RE’s worden ingediend;<br />
• Een verplichting tot voorgezette educatie: de RE’s zijn op grond van de Richtlijn Permanente<br />
Educatie verplicht jaarlijks 40 uur aan educatie te besteden zodat zij bijblijven op hun vakgebied;<br />
2. Het bevorderen van de ontwikkeling van het vakgebied IT auditing en van het beroep RE door onder<br />
andere het organiseren van symposia, het in studiegroepen uitdiepen van vaktechnische onderwerpen en<br />
de uitgave van het NOREA blad ‘de EDP-Auditor’;<br />
3. Het behartigen van de belangen van de leden voor zover deze de beroepsuitoefening raken. Hierbij wordt<br />
ondermeer gedacht aan het behartigen van de vaktechnische belangen van de RE’s in de richting van de<br />
overheid en andere beroepsorganisaties, het gevraagd en ongevraagd adviseren van de overheid met<br />
betrekking tot vraagstukken op het gebied van IT auditing en het geven van voorlichting betreffende het<br />
vakgebied IT auditing en het beroep RE aan leden en derden.<br />
3.4.2 Eisen aan de IT auditor<br />
De NOREA geeft duidelijke richtlijnen ten aanzien van onder andere integriteit, objectiviteit, deskundigheid en<br />
zorgvuldigheid. Met name met het Reglement Beroepsuitoefening Register EDP auditors en het Reglement<br />
Gedrags- en Beroepsregels Register EDP auditors (GBRE), bewaakt zij het niveau van functioneren van de<br />
Register EDP auditors. Sinds juli 2006 is het GBRE vervangen door ‘Code of Ethics for IT auditors’. Deze Code<br />
of Ethics is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en is een<br />
gedragscode die geldig is voor iedere IT auditor.<br />
De Code of Ethics geeft richtlijnen ten aanzien van:<br />
• Integriteit;<br />
• Objectiviteit;<br />
• Deskundigheid en Zorgvuldigheid;<br />
• Geheimhouding;<br />
• Professioneel gedrag.<br />
Integriteit<br />
Volgens Van Praat en Suerink wordt de integriteit van de IT auditor gewaarborgd door het zorgvuldig omgaan<br />
met en bewust zijn van de vooroordelen die hij kan hebben door zijn persoonlijke kennis en ervaring. De Code of<br />
Ethics geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in beroepsmatige en zakelijke<br />
betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering<br />
bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet volledig is of op meerdere<br />
manieren op te vatten is.<br />
Objectiviteit<br />
Zoals reeds eerder genoemd moet een auditor objectief zijn. De Code of Ethics stelt dat de IT auditor het niet<br />
accepteert dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling<br />
of ongepaste beïnvloeding door een derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn<br />
professionele oordeelsvorming op een ongepaste wijze beïnvloedt.<br />
Deskundigheid en Zorgvuldigheid<br />
De Code of Ethics stelt dat de IT auditor zijn deskundigheid en vaardigheid op het niveau houdt dat vereist is om<br />
diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en<br />
vaktechniek. Daarnaast dient de IT auditor zorgvuldig te handelen bij het verlenen van diensten en in<br />
overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.<br />
14
Volgend op de eerder beschreven soorten IT audits en de verschillende soorten objecten binnen IT audit, betekent<br />
dit dat de IT auditor ook voldoende deskundig moet zijn op deze objecten. En omdat deze objecten inhoudelijk<br />
sterk uiteenlopen is het te verwachten dat niet alle auditors even deskundig zijn op al deze punten en er<br />
specialismen binnen IT auditing ontstaan. Zeker ook omdat de IT zeer dynamisch en continu aan veranderingen<br />
onderhevig is, zal enige vorm van specialisme voor een IT auditor onontbeerlijk zijn wil hij in staat zijn om zich<br />
voortdurend op de hoogte te houden van de ontwikkelingen binnen zijn vakgebied. Volgens Van Praat en Suerink<br />
dient de IT auditor naast het zorgen voor relevante deskundigheid ook rekening houden met de grenzen van zijn<br />
deskundigheid. Ondanks dit specialisme, kan echter gesteld worden dat iedere IT Auditor in ieder geval<br />
voldoende kennis moet hebben van de volgende zaken: algemene organisatie principes, de omgeving waarin de<br />
infrastructuur en de systemen zich bevinden, de System Life Cycles, de verschillende ontwikkel methodieken,<br />
informatiebeveiliging en van auditing in het algemeen (Van Biene-Hershey, 1996).<br />
Geheimhouding<br />
De Code of Ethics stelt dat de IT Auditor een geheimhoudingsplicht heeft zowel in zijn sociale omgang, de audit<br />
organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een cliënt of organisatie.<br />
Professioneel gedrag<br />
De Code of Ethics stelt dat de IT Auditor zich dient te houden aan de relevante wet en regelgeving en zich<br />
onthoudt van handelingen welke het audit beroep in diskrediet kan brengen.<br />
3.5 Tot slot<br />
In dit hoofdstuk hebben we specifiek vanuit oogpunt van IT auditing aandacht besteed aan de soorten IT audits,<br />
de aspecten die een rol spelen bij de daadwerkelijke uitvoering van IT audits, namelijk de objecten, de<br />
kwaliteitsaspecten, de normen en de IT auditor.<br />
Samenvattend kunnen we zeggen dat de soorten IT audits direct samen hangen met de objecten van onderzoek.<br />
Deze objecten vallen over het algemeen onder één van de volgende categorieën: organisatie van<br />
informatievoorziening, informatiesystemen en systeemontwikkeling, technische infrastructuur of<br />
informatiebeveiliging. Voor alle soorten objecten kan de opzet, de bestaan en de werking worden vastgesteld.<br />
Belangrijke aspecten waarover bij IT audits een uitspraak wordt gedaan zijn effectiviteit, efficiency,<br />
betrouwbaarheid en continuïteit. Veel gebruikte, algemene normen waaraan de IT objecten worden getoetst zijn<br />
raamwerken die zich richten op één of meerdere aan de IT gelieerde onderwerpen, zoals ITIL dat zich richt op de<br />
IT dienstverlening en beheer en CMM dat betrekking heeft op systeemontwikkeling. Voor de uitvoering van IT<br />
audits moet de interne IT auditor niet alleen aan eisen voldoen als integriteit en objectiviteit, maar ook aan de eis<br />
met betrekking tot deskundigheid. Juist het kunnen voldoen aan deze eis, zou mogelijk als onderscheidend<br />
kenmerk van de IT auditor beschouwd kunnen worden. Het gaat hier immers niet alleen om deskundigheid op het<br />
gebied van auditing in het algemeen, maar ook om deskundigheid met betrekking tot de objecten die hij<br />
onderzoekt, namelijk de IT in al zijn facetten.<br />
Volgens Mollema en Van der Pijl (2005) heeft IT auditing zich in zijn circa 30 jarig bestaan weliswaar weten te<br />
vestigen als een levensvatbaar beroep met een eigen beroepsorganisatie, maar heeft het als vak nog onvoldoende<br />
relevantie verkregen. Door meer vanuit de organisatiestrategie te auditen en zich sterker op veranderingen te<br />
oriënteren, zou het volgens hen deze hogere relevantie wel kunnen verkrijgen. De vraag die deze andere rol<br />
echter oproept, is of de IT auditor hier dan wel de meest geschikte persoon voor is of dat het eerder iets is voor de<br />
operational auditor. Waarbij de IT auditor dan de specifieke IT strategie- en IT veranderingsaspecten voor zijn<br />
rekening zal nemen. Om hier een uitspraak over te kunnen doen, zullen we in het volgende hoofdstuk dieper<br />
ingaan op aspecten die een rol spelen bij de uitvoering operational audits, namelijk objecten, aspecten, normen en<br />
de aan de auditor gestelde eisen.<br />
15
4 Operational auditing<br />
4.1 Inleiding<br />
Hoewel het vakgebied van operational auditing in vergelijking met IT auditing nog relatief kort bestaat, lijkt men<br />
behoorlijk eensgezind over de inhoud ervan. De definities van operational auditing vertonen namelijk, in<br />
tegenstelling tot die voor IT auditing, behoorlijk veel overeenkomsten.<br />
De Vereniging van Register Operational auditors (VRO) geeft op hun website de volgende definitie van<br />
operational auditing (2007): “Operational auditing is een onderzoek gericht op de kwaliteit van de beheersing van<br />
bedrijfsprocessen door het verantwoordelijk management. Onder kwaliteit is in dit verband te verstaan de<br />
effectiviteit en efficiency van getroffen maatregelen die moeten waarborgen dat de activiteiten plaatsvinden in<br />
overeenstemming met de uitgangspunten van de organisatie, de "tight controls" en de algemene eisen die aan<br />
beheersing te stellen zijn”.<br />
Driessen en Molenkamp (2004) verstaan onder een operational audit: “het onderzoek naar de inrichting en<br />
werking van de kwaliteit van het gehele complex aan beheersingsmaatregelen dat het management treft om er<br />
zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de<br />
beheersingskaders die door het bovenliggende managementniveau zijn geformuleerd”.<br />
Kocks (2003) gebruikt de volgende door Paape voorgestelde definitie van operational audit: “een objectief<br />
onderzoek naar het functioneren van het management control system van een organisatie, gericht op de realisatie<br />
van de strategie van de organisatie, met als oogmerk het geven van additionele zekerheid en waar nodig het<br />
geven van adviezen ter verbetering”.<br />
De Cock en Molenkamp (2004) geven geen definitie van operational auditing, maar zeggen de operational<br />
auditor te beschouwen als degene die het management aanvullende zekerheid verschaft over de kwaliteit van<br />
beheersing van realisatie van de doelstellingen. Hiermee levert de operational auditor een bijdrage aan de<br />
continuïteit van de organisatie. In lijn hiermee zeggen Hartog en De Korte (2003) dat operational auditors een<br />
oordeel geven over de kwaliteit van de beheersing van de organisatie en daartoe de kwaliteit van de beheersing<br />
van de meest kritische processen onderzoeken. Beheersing wordt volgens hen daarbij vaak geïnterpreteerd als het<br />
geheel van maatregelen dat moet waarborgen dat de doelstellingen zullen worden bereikt. Het verkrijgen van<br />
additionele zekerheid over het bereiken van de doelstellingen vormt het uiteindelijke doel van de operationele<br />
audit.<br />
Vergelijking van de hierboven genoemde definities en omschrijvingen, maakt het volgende duidelijk:<br />
1. Object van onderzoek is volgens alle definities de bedrijfsvoering door het management. De VRO<br />
spreekt over ‘de beheersing van bedrijfsprocessen’, Driessen en Molenkamp van ‘het gehele complex aan<br />
beheersingsmaatregelen’ en Kocks van ‘het Management Control System gericht op de realisatie van de<br />
strategie van de organisatie’;<br />
2. Als doel van een operational audit spreekt Kocks over het geven van additionele zekerheid en het waar<br />
nodig geven van adviezen te verbetering. Zowel Hartog en De Korte als De Cock en Molenkamp noemen<br />
daarentegen alleen het verkrijgen van additionele zekerheid als doel. De definities van de VRO en van<br />
Driessen en Molenkamp benoemen tenslotte helemaal geen doel van een operational audit.<br />
Bij het spreken over operational auditing zullen wij in het vervolg van deze <strong>scriptie</strong> uitgaan van de definitie die<br />
Driessen en Molenkamp hiervoor geven. Dit doen wij, in aansluiting op onze keuze voor de te hanteren definitie<br />
van IT auditing, vanwege de wijze waarop in deze definitie het object van onderzoek wordt omschreven.<br />
16
4.2 Soorten operational audits<br />
Zoals de hierboven genoemde omschrijvingen aangeven, richten operational audits zich met name op de kwaliteit<br />
van de bedrijfsvoering. Deze bedrijfsvoering wordt ook wel weergegeven in de managementcyclus, welke<br />
achtereenvolgens bestaat uit beleid formuleren, inrichten, uitvoeren en toetsen. Hierbij bestaat beleid formuleren<br />
uit alles wat betrekking heeft op het sturen en beheersen van de organisatie, zoals de missie, strategie, de<br />
doelstellingen en de kaders waarbinnen die doelstellingen bereikt moeten worden. Inrichten betreft de inrichting<br />
van de activiteiten binnen een organisatie(-onderdeel), voortvloeiend uit het eerder geformuleerde beleid, en<br />
uitvoeren de daadwerkelijke uitvoering van die activiteiten. Bij dit laatste is het natuurlijk belangrijk dat het<br />
plaatsvindt conform de gestelde kaders. Om dit vast te stellen en zo nodig in te kunnen grijpen, zal een<br />
regelmatige evaluatie van de feitelijke situatie moeten plaatsvinden. Dit betreft het onderdeel toetsen.<br />
Schematisch ziet de managementcyclus er als volgt uit:<br />
Toetsen<br />
Figuur 3: De managementcyclus<br />
Omdat de bedrijfsvoering dus een breed spectrum van onderwerpen bestrijkt, kunnen bij een operational audit<br />
verschillende aspecten van de bedrijfsvoering in ogenschouw worden genomen. Variërend van de algemene<br />
kwaliteit van de beheersing van de organisatie of een afdeling, tot de kwaliteit van de uitvoering van specifieke<br />
processen en producten. In het eerste geval gaat het om een procesaudit, en in het tweede geval om een<br />
productaudit. Bij een procesaudit wordt het gehele stelsel van beheersingsmaatregelen die de uitkomsten voor de<br />
organisatie moeten waarborgen, beoordeeld. Bij een product- (of performance) audit daarentegen, wordt de<br />
kwaliteit van een specifiek onderdeel of uitkomst van de bedrijfsvoering getoetst. Zoals de kwaliteit van de<br />
uitwerking van de kaders ten behoeve van compliancy met wet- en regelgeving (beleid formuleren), de kwaliteit<br />
van een verantwoording zoals een milieuverslag of de mate waarin de organisatiedoelstellingen worden<br />
gerealiseerd (uitvoeren). In alle gevallen vervult de operational auditor dus de uitvoering van het onderdeel<br />
toetsen binnen de managementcyclus.<br />
4.3 Uitvoering van de operational audit<br />
Beleid<br />
Formuleren<br />
Uitvoeren<br />
Inrichten<br />
4.3.1 Objecten van onderzoek<br />
Uit de omschrijvingen van operational auditing bleek dat de organisatie, en dan in het bijzonder de kwaliteit van<br />
de beheersing van de bedrijfsvoering, het primaire object van onderzoek is bij operational auditing. Vanuit deze<br />
centrale focus op organisatie kunnen daarvan afgeleide onderzoeksobjecten worden afgeleid. Het betreft dan<br />
objecten als bedrijfsonderdelen, de bedrijfsprocessen, het beleid, de managementinformatie, procedures en regels<br />
maar ook objecten als veranderingsprocessen en projecten.<br />
Van deze objecten kunnen achtereenvolgens de opzet, het bestaan en de werking worden vastgesteld. Wanneer<br />
vanuit een (proces-) audit wordt gekeken naar de managementcyclus, zal de opzet, het bestaan en de werking van<br />
de beheersingsmaatregelen binnen een organisatie worden beoordeeld. Allereerst wordt de opzet getoetst door te<br />
kijken naar de kwaliteit van de uitwerking door de proceseigenaar van de centrale beheersingskaders (de strategic<br />
of tight controls) in decentrale beleidskaders en inrichtingskeuzes (management en operational controls).<br />
Hiervoor zal gekeken worden naar zaken als de taak- en verantwoordelijkheidsverdeling, resultaatafspraken,<br />
procedures, normen en richtlijnen en productspecificaties. Dit gebeurt vooral door middel van het voeren van<br />
interviews (met het hogere kader) en het opvragen en bestuderen van documenten. Als uit de audit blijkt dat de<br />
beleids- en inrichtingskeuzes niet in overeenstemming zijn met de beheersingskaders of niet uitvoerbaar, zou de<br />
audit hier kunnen eindigen. Immers, de inrichting van het proces (het bestaan) en het feitelijk verloop (de<br />
17
werking) zullen alleen toevallig in overeenstemming kunnen zijn met de normen. De auditor zou echter ook<br />
kunnen kijken welke maatstaven en normen in de praktijk worden gehanteerd, en kunnen aanbevelen deze alsnog<br />
vast te leggen.<br />
Wanneer de opzet van de beheersingskaders als positief is beoordeeld, kan de auditor vervolgens kijken in welke<br />
mate de decentrale processen en eenheden zijn ingericht conform de doelstellingen en kaders. Hiermee gaat hij na<br />
of het uiteindelijke proces ook daadwerkelijk beheersbaar is ingericht, en kijkt hij derhalve of de<br />
beheersingsmaatregelen effectief en efficiënt zijn. Dit betekent dat hij door middel van interviews (met het lagere<br />
kader), observaties ter plekke en onderzoek van documenten en resultaatgegevens nagaat of met de<br />
beheersingsmaatregelen adequate informatie beschikbaar komt om het proces of de productspecificaties te meten<br />
en bij te stellen (dat wil zeggen of ze effectief zijn) en of precies de juiste beheersingsmaatregelen aanwezig zijn<br />
om de risico’s te beheersen (dat wil zeggen of ze efficiënt zijn).<br />
Als de beheersingsmaatregelen een consistente en logische uitwerking vormen van de formele<br />
productspecificaties, richtlijnen, procedures en criteria, kan de werking worden getoetst. Door middel van<br />
deelwaarnemingen en steekproeven kan worden vastgesteld of de organisatie en de beheersingsmaatregelen ook<br />
daadwerkelijk zo functioneren als zou moeten.<br />
4.3.2 Aspecten<br />
Kwaliteitsaspecten die bij operational audits vaak worden gehanteerd zijn effectiviteit en efficiency. Dit zagen we<br />
al bij de definities van operational auditing van de VRO en van Driessen en Molenkamp. Immers, beiden stelden<br />
dat de operational auditor een oordeel geeft over de effectiviteit en efficiency van de beheersingsmaatregelen die<br />
het management treft om te bewaken dat de organisatiedoelstellingen zullen worden gerealiseerd.<br />
De effectiviteit van de beheersingsmaatregelen betreft hier de mate waarin bij een verstoring of afwijking van de<br />
gebruikelijke situatie, door middel van het inzetten van de beheersingsmaatregelen toch de geformuleerde eisen<br />
bereikt kunnen worden. Bij efficiency van de beheersingsmaatregelen gaat het om de mate waarin de<br />
beheersingsmaatregelen qua omvang en gewicht voldoende zijn toegesneden op de specifieke behoeften van de<br />
procesverantwoordelijke om een verstoring of afwijking te kunnen signaleren en te beïnvloeden.<br />
Naast deze twee kwaliteitsaspecten, zijn er echter nog meer aspecten die een rol kunnen spelen bij een audit<br />
(Driessen en Molenkamp, 2004). Deze zijn bijvoorbeeld de flexibiliteit en continuïteit (van de processen),<br />
doorlooptijd (van het productieproces), de veiligheid (van medewerkers en bedrijfseigendommen) en de<br />
toegankelijkheid en betrouwbaarheid (van informatie). Betrouwbaarheid is hierbij een samenspel van de aspecten<br />
tijdigheid, juistheid en volledigheid. Welke kwaliteitsaspecten uiteindelijk in beschouwing zullen worden<br />
genomen, zal worden bepaald door de aard van het onderzoeksobject en de gehanteerde normen.<br />
4.3.3 Normen<br />
Aangezien in een audit de huidige situatie getoetst wordt ten aanzien van de gewenste situatie, vormen de normen<br />
het uitgangspunt van de onderzoeksactiviteiten. Bij een operational audit, dat zich richt op de kwaliteit van de<br />
beheersing van de bedrijfsvoering, vormen de beheersingskaders en de beheersingsmaatregelen het uitgangspunt.<br />
Waarbij de beheersingskaders de door de top van de organisatie aan de proceseigenaar opgelegde<br />
productspecificaties, richtlijnen en randvoorwaarden zijn en de beheersingsmaatregelen de daadwerkelijk door de<br />
proceseigenaar getroffen maatregelen (Driessen en Molenkamp).<br />
Binnen operational auditing zijn veel gebruikte normen om de kwaliteit van de beheersingsmaatregelen te toetsen<br />
het COSO-raamwerk, het KAD-model, het EFQM- of INK-model en de Balanced Business Scorecard.<br />
Het COSO-raamwerk is ontstaan in de Verenigde Staten, en is opgesteld door de Committee of Sponsoring<br />
Organizations of the Treadway Commission, in 1992. Deze commissie heeft een rapport (het zogenaamde<br />
COSO-rapport) opgesteld met als doel het management te ondersteunen bij het beheersen van de activiteiten en<br />
bedrijfsprocessen van haar organisatie. Het rapport richt zich specifiek op “internal control”. Hieronder verstaan<br />
zij het proces dat, onder invloed van het management en medewerkers, redelijke zekerheid moet geven over het<br />
bereiken van de doelstellingen met betrekking tot één of meer van de volgende categorieën: betrouwbaarheid van<br />
de financiële informatievoorziening, effectiviteit en efficiency van de bedrijfsprocessen en naleving van de wet-<br />
18
en regelgeving. In het COSO-rapport zijn verschillende interne beheersingsthema’s gebundeld tot één raamwerk.<br />
Dit raamwerk bestaat uit vijf, onderling samenhangende elementen voor internal control:<br />
1. Control Environment;<br />
2. Risk Assessment;<br />
3. Control Activities;<br />
4. Information and Communication;<br />
5. Monitoring.<br />
Daar waar het COSO-raamwerk zich richt op organisatiebeheersing, richt het model Kwaliteit Administratieve<br />
Dienstverlening (het KAD-model) zich op procesbeheersing. Dit model komt voortuit de systeemleer en bestaat<br />
uit drie modules die gezamenlijk de managementkundige vraagstukken bij de inrichting en beheersing van een<br />
verantwoordelijkheidsgebied behandelen: de productmodule, de procesmodule en de structuurmodule.<br />
Het EFQM- en het (Nederlandse) INK-model komen voort uit de kwaliteitsleer. Het door de European<br />
Foundation for Quality Management (EFQM) ontwikkelde model richt zich op negen aandachtsgebieden van de<br />
bedrijfsvoering, waarvan procesbeheersing er een is. Het model van het Instituut Nederlandse Kwaliteit (het<br />
INK-model) is afgeleid van dit EFQM-model. Het EFQM- en INK-model bestaan uit de vijf organisatiegebieden<br />
Leiderschap, Middelen, Strategie en Beleid, Medewerkers en Processen, uit de vier resultaatgebieden<br />
Waardering Medewerkers, Waardering Klanten, Waardering Maatschappij en Bedrijfsresultaat. Bij de<br />
toepassing van dit model gaat het om de vier fases Bewustmaken, Diagnosticeren, Verbeteren en Besturen.<br />
De Business Balanced Scorecard is er op gestoeld dat het management inzicht wil hebben in een viertal<br />
perspectieven om de organisatie goed te kunnen aansturen en beheersen. Deze vier perspectieven zijn het<br />
Financiële perspectief, het Innovatieperspectief, het Procesperspectief en het Klantenperspectief. Voor elk<br />
perspectief zullen doelstellingen en succesfactoren benoemd moeten worden (de zogenaamde kritische succes<br />
factoren), welke regelmatig gemeten zullen moeten worden om zo nodig bij te kunnen sturen. Van iedere<br />
kritische succes factor zal moeten worden nagegaan welke invloed het heeft op de organisatie, de<br />
informatievoorziening, het personeelsbeleid en de interne communicatie. Op basis van deze analyse kan het<br />
management keuzes maken, welke vertaald moeten worden in beheersingskaders en beheersingsmaatregelen.<br />
4.4 De operational auditor<br />
4.4.1 Beroepsorganisaties<br />
Voor de operational auditors is de Vereniging van Register Operational auditors (VRO) de meest direct<br />
aangewezen beroepsorganisatie, hoewel ook de Nederlandse afdeling van de Institute of Internal Auditors (IIA<br />
NL) zich sterk richt op operational auditors. Dit komt tot uiting met de integratieovereenkomst die in maart 2007<br />
door de VRO en de IIA NL is aangenomen.<br />
De VRO bestaat nu circa 13 jaar en is de beroepsorganisatie voor operational auditors. Men kan alleen worden<br />
toegelaten tot de VRO wanneer men is afgestudeerd aan een erkende postdoctorale opleiding tot operational<br />
auditor en beschikt over drie jaar werkervaring als operational auditor. Na inschrijving mag men de beschermde<br />
titel RO achter de naam voeren. In de Statuten van de VRO zijn de volgende doelstellingen van de VRO<br />
benoemd:<br />
1. Het bevorderen van een goede beroepsuitoefening door de leden die in het Register Operational auditors<br />
zijn ingeschreven;<br />
2. Het bevorderen van de verdere ontwikkeling van het vakgebied operational auditing en van het beroep<br />
van operational auditor. Dit doet zij onder meer door het uitgeven van het vaktijdschriften De operational<br />
auditor en (in samenwerking met de IIA NL) Audit Magazine;<br />
3. Het bevorderen van ter zake dienende opleidingen, gericht op het op peil houden van de deskundigheid<br />
van de leden;<br />
4. Het behartigen van de gemeenschappelijke belangen van de leden, voor zover deze de<br />
beroepsuitoefening raken.<br />
19
4.4.2 Eisen aan de operational auditor<br />
In de Gedrags- en Beroepsregels Register Operational auditors (GBRO) geeft de Vereniging van Register<br />
Operational auditors de regels aan die gelden voor haar leden. Van leden die optreden als operational auditor stelt<br />
zij eisen die betrekking hebben op: 1. Deskundigheid, 2. Zorgvuldigheid, 3. Vertrouwelijkheid, 4. Integriteit en 5.<br />
Ethiek.<br />
De IIA NL heeft zowel haar regels verwoord in haar Gedrags- en Beroepsregels Internal Auditors (GBRIA) als in<br />
de Code of Ethics. Deze laatste, die evenals de Standards for the Professional Practice of Internal Auditing een<br />
onderdeel uitmaakt van de Professional Practices Framework, komt echter niet overeen met haar eigen Gedrags-<br />
en Beroepsregels Internal Auditors. De Code of Ethics stelt immers als eisen:<br />
• Integriteit;<br />
• Objectiviteit;<br />
• Vertrouwelijkheid<br />
• Deskundigheid.<br />
Terwijl de GBRIA dezelfde eisen hanteert als de GBRO, namelijk:<br />
• Deskundigheid;<br />
• Zorgvuldigheid;<br />
• Vertrouwelijkheid;<br />
• Integriteit;<br />
• Ethiek.<br />
In hun verwoordingen van hun eisen vertonen de GBRO en de GBRIA overigens ook zeer sterke<br />
overeenkomsten.<br />
Deskundigheid<br />
Zowel de GBRO als de GBRIA stellen dat de auditor er voor moet zorgen dat zijn vaktechnische kennis en<br />
vaardigheden van voldoende niveau zijn en blijven en dat hij zijn werk in overeenstemming met de<br />
vaktechnische normen en standaarden uitvoert. De Code of Ethics daarentegen werkt de eis van deskundigheid<br />
uit door te stellen dat de Internal auditor alleen die opdrachten mag vervullen waarvoor hij voldoende kennis,<br />
vaardigheden en ervaring bezit, dat de hij zijn werk zo veel mogelijk moet uitvoeren in overeenstemming met de<br />
International Standards for the Professional Practice of Internal Auditing van de IIA en dat hij voortdurend moet<br />
zorgen voor kwaliteitsverbetering.<br />
Driessen en Molenkamp (2004) werken het aspect deskundigheid uit door te zeggen dat de operational auditor<br />
kennis moet hebben van management en organisatiekunde en De Cock en Molenkamp (2004) door te zeggen dat<br />
hij moet beschikken over een multidisciplinaire achtergrond en analysevaardigheden.<br />
Zorgvuldigheid<br />
Zowel de GBRO als de GBRIA eisen dat de auditor zorgt voor een deugdelijke grondslag voor de door hem<br />
gegeven oordelen en adviezen en voor het verstrekken van relevante informatie omtrent de uitkomsten van de<br />
onderzoeken. Daarnaast stelt de GBRO dat de operational auditor zijn rapporten, oordelen en adviezen<br />
zorgvuldig moet formuleren en zich steeds bewust moet zijn van de toepasselijkheid van de gehanteerde<br />
werkmethoden. De GBRIA stelt in verband met zorgvuldigheid als aanvullende eisen dat de taakopdracht<br />
duidelijk omschreven moet zijn, dat de uitgevoerde werkzaamheden zodanig moeten worden vastgelegd dat zij<br />
een goed beeld geven van wat er is gedaan en dat deze registratie zeven jaar bewaard moet blijven.<br />
In de Code of Ethics staat er niets over zorgvuldigheid. De eisen die daar echter betrekking op hebben zijn echter<br />
uitgebreid uitgewerkt in de Standards for the Professional Practice of Internal Auditing (Standards).<br />
Vertrouwelijkheid<br />
Hoewel de verwoordingen van de GBRO, de GBRIA en de Code of Ethics op dit punt enigszins van elkaar<br />
afwijken, stellen alle drie dat de auditor de aan hem verschafte vertrouwelijke, cq. geheime informatie<br />
vertrouwelijk moet behandelen cq. geheim houden, tenzij hij door de wet hiervan moet afwijken. Daarnaast eisen<br />
alle drie dat de auditor geen misbruik maakt van de aan hem toevertrouwde informatie.<br />
20
Integriteit<br />
In de GBRO en de GBRIA wordt de regel met betrekking tot integriteit enkel uitgewerkt in de eis dat de auditor<br />
geen functies mag aannemen en geen activiteiten mag uitvoeren die zijn functioneren als auditor zouden kunnen<br />
schaden. De Code of Ethics werkt deze regel uitgebreider uit, en eist dat de auditor zijn werk eerlijk, toegewijd<br />
en verantwoord moet uitvoeren, dat hij de wet moet naleven, dat hij niet zal deelnemen aan illegale activiteiten of<br />
activiteiten die schadelijk kunnen zijn voor het beroep van Internal auditing of de organisatie én dat hij de<br />
wettelijke en ethische doelstellingen van de organisatie moet naleven en bevorderen.<br />
Ethiek<br />
De regel in de GBRO met betrekking tot ethische conflicten geeft aan dat de auditor het bestuur van zijn<br />
organisatie moet informeren wanneer hij van mening is dat hij door het uitvoeren van zijn werk, gedrag moet<br />
vertonen dat in strijd is met de letter en/of geest van het reglement en hij daardoor zijn geloofwaardigheid en/of<br />
integriteit als RO zou schaden. Mocht deze strijdigheid niet naar zijn tevredenheid worden opgelost, dan moet de<br />
auditor het bestuur van zijn organisatie en van de VRO gemotiveerd inlichten dat hij niet langer als een bij de<br />
VRO geregistreerde operational auditor kan werken.<br />
Objectiviteit<br />
Deze eis wordt alleen uitgewerkt in de Code of Ethics. De Code of Ethics geeft aan dat de internal auditor geen<br />
werkzaamheden mag uitvoeren die ertoe kunnen leiden dat zijn onbevooroordeelde mening geschaad zou kunnen<br />
worden, dat hij niets mag aannemen wat zijn professionele beoordeling zou kunnen schaden, en dat hij alle<br />
gegevens beschikbaar moet stellen die, als hij dat niet zou doen, de verslaggeving van de uitgevoerde<br />
werkzaamheden zou kunnen vertekenen.<br />
4.5 Tot slot<br />
In dit hoofdstuk zijn we, evenals bij IT auditing, voor operational auditing ingegaan op de verschillende soorten<br />
audits, de aspecten verbonden aan de daadwerkelijke uitvoering van en audit en de auditor. Samenvattend geldt<br />
dat wij hebben gezien dat de operational auditor een belangrijke rol vervult bij het verschaffen van aanvullende<br />
zekerheid aan het management over de kwaliteit van de beheersing van de organisatie gericht op het bereiken van<br />
haar doelstellingen. Vanuit deze gerichtheid op de organisatie, kunnen verschillende objecten van onderzoek<br />
worden afgeleid. Deze objecten kunnen betrekking hebben op alles wat binnen de organisatie plaatsvindt en op<br />
alles wat de organisatie maakt zoals hij is. Dat wil zeggen van de bedrijfsprocessen tot aan de<br />
resultaatdoelstellingen en van specifieke producten tot aan de management informatie. Evenals bij IT auditing, is<br />
er ook bij operational auditing sprake van product- en procesaudits.<br />
Omdat het kan gaan om een grote diversiteit aan objecten, zijn er dien evenredig veel soorten kwaliteitsaspecten<br />
die op deze objecten van toepassing kunnen zijn. De meest gehanteerde aspecten zijn echter die van effectiviteit<br />
en efficiency. Dit hangt nauw samen met de sterke gerichtheid op het beoordelen van de kwaliteit van de<br />
getroffen beheersingsmaatregelen. Beheersingsmaatregelen die het management neemt om de realisatie van de<br />
organisatie doelstellingen te bewaken. Hoewel de te hanteren toetsingsnormen voor ieder object zullen<br />
verschillen, zijn het COSO-raamwerk en het KAD-model veel gehanteerde algemene normen kaders.<br />
Binnen de managementcyclus draagt operational auditing bij aan de uitvoering van het onderdeel Toetsing.<br />
Hartog en De Korte (2005) geven aan dat door audit juist expliciet te plaatsen buiten die managementcyclus, het<br />
managementproces zelf object van onderzoek wordt. Hiermee zou de auditor echt een wezenlijke bijdrage<br />
kunnen leveren aan de ‘ín-control’ verklaring. Gezien het nog relatief korte bestaan van het vakgebied én zijn<br />
inherent brede focus op de organisatie, is deze uitbreiding van onderzoeksobjecten niet onaannemelijk.<br />
In het volgende hoofdstuk zullen wij datgene wat wij in dit en vorig hoofdstuk hebben behandeld met elkaar<br />
vergelijken. Hiermee zullen wij een antwoord proberen te geven op het tweede gedeelte van de eerste subvraag,<br />
namelijk: “Welke verschillen en overeenkomsten bestaan er tussen de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits?”.<br />
21
5 Het verschil en de overeenkomsten tussen IT en operational auditing<br />
5.1 Inleiding<br />
In Hoofdstuk 2 hebben wij met betrekking tot auditing in het algemeen aandacht besteed aan de diverse soorten<br />
audits, de algemene aspecten die zijn verbonden aan de daadwerkelijke uitvoering van een audit en aan de<br />
auditor. In de voorgaande twee hoofdstukken zijn wij vervolgens voor respectievelijk IT en operational auditing<br />
dieper ingegaan op die elementen uit de eerder genoemde drie onderdelen waarvan wij verwachtten dat ze<br />
zouden verschillen voor IT en operational auditing. Het betrof de soorten audits, de objecten, de<br />
kwaliteitsaspecten, de normen, de beroepsorganisaties en de eisen die deze organisaties stellen aan hun leden.<br />
In dit hoofdstuk behandelen wij ten behoeve van de beantwoording van de eerste subvraag, op basis van de<br />
voorgaande drie hoofdstukken, de verschillen en overeenkomsten in de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits. Omdat wij bij beide vakgebieden hebben gezien dat de te onderscheiden<br />
soorten audits een directe samenhang vertonen met de objecten van onderzoek, zullen wij in dit hoofdstuk niet<br />
verder ingaan op de soorten audits. Wel zullen wij bij de behandeling van de objecten van onderzoek het<br />
onderscheid tussen proces- en productaudits terug laten komen.<br />
5.2 Objecten van onderzoek<br />
Bij de eerdere behandeling van de definities van IT en operational auditing hebben wij aangegeven dat wij in<br />
deze <strong>scriptie</strong> de volgende twee definities hanteren:<br />
IT auditing: “Het vakgebied dat zich bezighoudt met de beoordeling en advisering bij objecten van de<br />
informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering. Het doel hiervan is<br />
kwalitatief en/of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening,<br />
waarbij de doelstellingen van de opdrachtgever gerealiseerd worden” (Van Praat en Suerink, 2004).<br />
Operational auditing: “Het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex aan<br />
beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de<br />
organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingskaders die door het bovenliggende<br />
managementniveau zijn geformuleerd” (Driessen en Molenkamp, 2004).<br />
Een vergelijking van definities laat zien dat in de definitie van IT auditing het object van onderzoek wordt<br />
omschreven als “objecten van de informatievoorziening in een omgeving waar gebruikt wordt gemaakt van de<br />
automatisering” en bij operational auditing “de inrichting en werking van de kwaliteit van het gehele complex<br />
aan beheersingsmaatregelen dat het management treft”. Anders gezegd, op basis van deze definities zou IT<br />
auditing zich richten op de informatiesystemen en operational auditing op de beheersingsmaatregelen. Dit is<br />
natuurlijk een wel erg vereenvoudigde en beperkte weergave van de onderzoeksobjecten. Dit blijkt ook als we<br />
kijken naar de eerder genoemde specifieke objecten van onderzoek.<br />
Onderstaand overzicht toont aan dat IT en operational auditing dezelfde soort proces- en productaudits uitvoeren.<br />
Beide vakgebieden voeren namelijk procesaudits uit naar de strategie van de organisatie, de inrichting van de<br />
bedrijfsprocessen, wet- en regelgeving en de beheersing van de organisatie. Tevens voeren beide vakgebieden<br />
productaudits uit naar projecten, specifieke producten en processen en forensische audits. Bij operational<br />
auditing staat bij productaudits alleen als aanvullend audit object genoemd, de realisatie van de<br />
organisatiedoelstellingen. Het is echter zeer aannemelijk dat dit ook een object van onderzoek is bij IT auditing.<br />
Immers, zoals we in de definitie voor IT auditing zagen is het leveren van een bijdrage aan de adequate<br />
organisatie van de informatievoorziening ten behoeve van de realisatie van de organisatiedoelstellingen een<br />
belangrijke reden voor het uitvoeren van een IT audit.<br />
22
IT auditing Operational auditing<br />
Proces- Strategie van de organisatie Strategie van de organisatie<br />
audit<br />
Inrichting van de bedrijfsprocessen:<br />
- Processen binnen systeem ontwikkeling,<br />
- Processen m.b.t. beheer technische infrastructuur<br />
Inrichting van de bedrijfsprocessen<br />
Wet- en regelgeving Wet- en regelgeving<br />
Beheersing van de IT organisatie:<br />
- Organisatie en structuur van systeem ontwikkeling;<br />
- Organisatie en beheer van technische infrastructuur<br />
- Organisatie m.b.t. toegangsbeveiliging<br />
Beheersing van de organisatie of een afdeling<br />
Product- audit Projectrealisatie Projectrealisatie<br />
Realisatie organisatiedoelstellingen<br />
Producten:<br />
Producten:<br />
- Computerprogramma’s;<br />
- Besturingssystemen;<br />
- Databases;<br />
- Datacommunicatie systemen<br />
- Organisatiespecifieke producten<br />
Uitvoering van specifieke processen:<br />
Uitvoering van specifieke processen:<br />
- Externe en logische toegangsbeveiliging;<br />
- Organisatiespecifieke processen;<br />
- Fysieke beveiliging<br />
- Logische toegangsbeveiliging;<br />
- Fysieke beveiliging<br />
Forensische audit Forensische audit<br />
Figuur 4: De objecten van onderzoek bij IT en operational auditing<br />
Als wij verder kijken naar de meer concrete uitwerking van de objecten in dit overzicht, dan lijken zij op het<br />
eerste oog bij de twee vakgebieden meer verschil te vertonen. De reden hiervan is dat een aantal objecten niet op<br />
dezelfde manier worden uitgewerkt of geconcretiseerd: Bij IT auditing worden de objecten inrichting van de<br />
bedrijfsprocessen en beheersing van de organisatie of een afdeling bijvoorbeeld wel geconcretiseerd, maar bij<br />
operational auditing niet. Bovendien worden bij beide vakgebieden de objecten producten en uitvoering van<br />
specifieke processen anders uitgewerkt. Ook deze verschillen in specificaties die wij in de onderzochte literatuur<br />
hebben aangetroffen, zullen in de praktijk niet werkelijk zo strikt van toepassing zijn.<br />
Dat wil zeggen dat de verdere uitwerkingen van de objecten inrichting van de bedrijfsprocessen en beheersing<br />
van de organisatie of een afdeling zoals die zijn genoemd bij IT auditing evengoed van toepassing kunnen zijn<br />
voor operational auditing en er anderzijds uitwerkingen zijn te noemen voor operational auditing die op hun beurt<br />
ook van kracht kunnen zijn voor IT auditing.<br />
De reden hiervan is dat bij een (operational) audit naar de inrichting van de bedrijfsprocessen of de beheersing<br />
van de organisatie IT een zeer wezenlijk onderdeel van de audit zal uitmaken. Bij het uitvoeren van een<br />
operational audit naar bijvoorbeeld de bedrijfsprocessen, kunnen de ondersteunende systemen namelijk niet<br />
buiten beschouwing worden gelaten en bij een audit naar de totstandkoming van een organisatiespecifiek product<br />
zal ook gekeken moeten worden hoe het productie proces wordt beïnvloed door de systemen. Aangezien IT van<br />
nature onderdeel is van een groter geheel, namelijk van de organisatie die zij ondersteunt, zal bij een IT audit<br />
nooit alleen naar de IT specifieke objecten worden gekeken, maar zullen ook aanverwante aspecten onderdeel<br />
van de audit uitmaken. Zoals de bedrijfsprocessen die de systemen ondersteunen, de gebruikersorganisatie<br />
waarop de beveiligingsinstellingen betrekkingen hebben en de strategie van de organisatie als geheel welke<br />
bepaalt hoe men IT wil inzetten.<br />
Op basis van bovenstaande kunnen we derhalve concluderen dat de onderzoeksobjecten bij IT en operational<br />
auditing sterk overeenkomen, ondanks dat ze vanuit een verschillende optiek starten. Namelijk IT auditing vanuit<br />
de informatiesystemen en de organisatie omtrent de informatiesystemen, en operational auditing vanuit de<br />
organisatie en de bedrijfsvoering in het algemeen.<br />
5.3 Aspecten<br />
Auditing is het vanuit een bepaalde invalshoek toetsen van de werkelijkheid aan vooraf opgestelde objectieve<br />
normen. Deze invalshoek bestaat uit de aspecten die binnen een audit worden gehanteerd. Zoals we al hadden<br />
gezien, geldt dit voor alle soorten van auditing, dus ook voor IT en operational auditing.<br />
23
Onderstaand figuur geeft een weergave van de aspecten die volgens de door ons geraadpleegde literatuur een rol<br />
spelen bij IT en operational auditing:<br />
IT auditing Operational auditing<br />
Effectiviteit (onderhoudbaarheid, herbruikbaarheid en<br />
Effectiviteit van de beheersingsmaatregelen<br />
geschiktheid) van de infrastructuur<br />
Efficiency (gebruikersvriendelijkheid en flexibiliteit) van de Efficiency van de beheersingsmaatregelen<br />
systemen<br />
Continuïteit (herstelbaarheid en uitwijkmogelijkheid) van de Continuïteit van de processen<br />
gegevensverwerking<br />
Flexibiliteit van de processen<br />
Betrouwbaarheid (juistheid, tijdigheid en volledigheid) van de Betrouwbaarheid (juistheid, tijdigheid en volledigheid) van de<br />
informatie<br />
informatie<br />
Toegankelijkheid van de informatie<br />
Doorlooptijd van het productieproces<br />
Veiligheid van medewerkers en eigendommen<br />
Figuur 5: De aspecten bij IT en Operational auditing<br />
Uit dit overzicht blijkt dat de aspecten effectiviteit, efficiency, continuïteit en betrouwbaarheid zowel bij IT als bij<br />
operational auditing worden genoemd en dat bij operational auditing een aantal aanvullende aspecten zijn<br />
opgenomen, namelijk flexibiliteit, toegankelijkheid, doorlooptijd en veiligheid. Deze overlap of het niet genoemd<br />
zijn van bepaalde aspecten kan echter niet direct als een verschil of overeenkomst worden beschouwd.<br />
Hoewel niet genoemd bij IT auditing, zullen namelijk de aspecten flexibiliteit, toegankelijkheid en veiligheid ook<br />
bij IT auditing van toepassing zijn wanneer naar de objecten processen, informatie en medewerkers wordt<br />
gekeken. Evengoed als bij operational auditing. Eigenlijk is het zelfs niet mogelijk beide vakgebieden te<br />
vergelijken wat betreft aspecten zonder het onderzoeksobject bij deze vergelijking te betrekken. Aangezien een<br />
aspect zijn daadwerkelijke betekenis ontleent aan het object waarop het van toepassing is. Met betrekking tot het<br />
object IT infrastructuur zal het aspect effectiviteit namelijk niet dezelfde betekenis hebben als met betrekking tot<br />
het object beheersingsmaatregelen: Daar waar een effectieve infrastructuur gekenmerkt wordt door een sterke<br />
mate van onderhoudbaarheid, herbruikbaarheid en geschiktheid, zal een effectieve beheersingsmaatregel met<br />
name gekenmerkt worden door geschiktheid. Dit is ook precies de reden waarom Van Praat en Suerink<br />
kwaliteitsaspecten verder uitwerken in kwaliteitsattributen.<br />
Hoewel het dus op basis van het overzicht lijkt alsof de aspecten bij IT en operational auditing verschillen<br />
vertonen, is het maken van een dergelijke vergelijking alleen mogelijk als een aspect in directe relatie met het te<br />
onderzoeken object wordt gezien. Dit betekent dat het maken van een vergelijking tussen de twee vakgebieden<br />
eigenlijk niet gerechtvaardigd is, tenzij deze vergelijking gekoppeld wordt aan een specifiek object. Maar<br />
wanneer een bepaald aspect in relatie tot hetzelfde object bij een IT en bij een operational audit wordt gebruikt,<br />
blijkt er wat betreft het aspect geen sprake te zijn van een verschil tussen IT en operational auditing.<br />
5.4 Normen<br />
Zoals we reeds hebben aangegeven zijn normen noodzakelijk om een audit te kunnen uitvoeren. Normen zijn<br />
nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt.<br />
Normen kunnen worden ontleend aan zowel interne als externe bronnen. Het audit object wordt dan ook<br />
beoordeeld op basis van normen.<br />
In onderstaand figuur hebben we de algemeen geldende normen voor IT auditing en operational auditing<br />
weergegeven zoals we die eerder hebben behandeld:<br />
IT auditing Operational auditing<br />
CobiT COSO-raamwerk<br />
ITIL KAD-model<br />
Code voor Informatiebeveiliging EFQM-/INK-model<br />
CMM Business Balanced Scorecard<br />
Prince2<br />
Figuur 6: De normen bij IT en operational auditing<br />
24
De algemene normen die gehanteerd worden door de IT auditor en de operational auditor zijn daadwerkelijk<br />
verschillend. De normen die bij IT auditing worden gehanteerd zijn vooral gericht op de IT. Zo vindt<br />
bijvoorbeeld CobiT zijn oorsprong vanuit het oogpunt van het beheren van de informatietechnologie en is ITIL<br />
een beheermethodiek die gebruikt wordt in IT organisaties. Normenkaders gebaseerd op CobiT en ITIL zijn<br />
vooral geschikt voor proces audits, zoals de General IT Controls audits. De algemene normen die gehanteerd<br />
worden bij operational auditing zijn gericht op de beheersing van de bedrijfsvoering en de bedrijfsprocessen in<br />
het algemeen. Het COSO-raamwerk is bijvoorbeeld met name van toepassing voor de organisatiebeheersing,<br />
terwijl het KAD-model zich richt op procesbeheersing.<br />
Naast Proces audits vinden er binnen IT audit ook specialistische IT audits plaats, bijvoorbeeld naar de operating<br />
systems. Deze audits zijn product gericht, waarbij geen algemene normen gehanteerd kunnen worden, behalve<br />
ten aanzien van de informatiebeveiliging. Evenals bij IT auditing, zal ook bij een product gerichte operational<br />
audit geen gebruik gemaakt kunnen worden van algemene normen maar zullen de normen op het betreffende<br />
product moeten worden afgestemd.<br />
Hoewel vanuit de literatuur de normenkaders van IT auditing en operational auditing verschillen, betekent het<br />
natuurlijk niet dat de IT en operational auditor niet ‘elkaars’ normen kunnen gebruiken. Alles hangt af van welk<br />
object zij willen beoordelen. Indien een operational auditor een IT-matig proces wil beoordelen, zal ook voor<br />
hem een (algemene) IT norm het meest geschikt zijn. En wanneer een IT auditor naar algemene organisatie<br />
aspecten wil kijken zou bijvoorbeeld COSO geschikt kunnen zijn. Het normenkader gebaseerd op Prince2 kan<br />
ook door zowel een IT als een operational auditor worden gebruikt. Zoals reeds aangegeven is Prince2 een<br />
project methodiek en deze wordt niet specifiek binnen de IT gebruikt. Een dergelijk normenkader is derhalve<br />
geschikt voor het auditen van ieder project, met of zonder IT componenten.<br />
5.5 Audit fases<br />
Zoals beschreven in Hoofdstuk 2 kent ieder type audit een aantal fases, ongeacht of het een IT of een operational<br />
audit betreft. De in dat hoofdstuk beschreven fases zijn gebaseerd op het zes stappenmodel van Driessen en<br />
Molenkamp (2004) en zijn van toepassing voor zowel IT als operational auditing.<br />
De zes stappen, of fases, zien er daarbij als volgt uit:<br />
1. De planningfase: Hierin wordt de jaarplanning gemaakt, met daarin de objecten van onderzoek, de<br />
auditees, de audit doelstellingen, wanneer de audits moeten worden uitgevoerd en de benodigde audit<br />
capaciteit;<br />
2. De vooronderzoekfase: Het ten behoeve van een specifieke audit verzamelen van informatie over<br />
bijvoorbeeld het beleid van de organisatie, de aan het onderzoeksobject gestelde eisen en de<br />
kaderstellingen zoals de regelgeving. Tijdens deze fase wordt ook de audit aangekondigd bij de<br />
proceseigenaar;<br />
3. De veldwerkfase: Het verzamelen van gegevens welke nodig zijn om de bevindingen te formuleren,<br />
conclusies te trekken en aanbevelingen ter verbetering te kunnen doen;<br />
4. De rapportagefase: Het opstellen van het rapport met daarin de bevindingen, conclusies, aanbevelingen<br />
en een actieplan voor het management. In deze fase wordt tevens in overleg met de auditees, de<br />
proceseigenaar en de opdrachtgever vastgesteld of de bevindingen van de auditors correct en volledig<br />
zijn;<br />
5. De evaluatiefase: De evaluatie vanuit de audit afdeling zelf, ten aanzien van de uitgevoerde audit en de<br />
feitelijke inhoud van de audit;<br />
6. De follow-up: Het controleren of het actieplan daadwerkelijk is uitgevoerd door het verantwoordelijk<br />
management.<br />
25
5.6 De auditor<br />
De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de<br />
auditors opereren. In Hoofdstuk 3 hebben we reeds aangegeven dat de NOREA de beroepsorganisatie is voor IT<br />
auditors. De NOREA waakt over de deskundigheid van haar leden en bindt hen tevens aan regels voor de<br />
beroepsuitoefening. In Hoofdstuk 4 hebben we beschreven dat voor de operational auditors de Vereniging van<br />
Register Operational auditors (VRO) de meest direct aangewezen beroepsorganisatie is. Hoewel ook de<br />
Nederlandse afdeling van de Institute of Internal Auditors (IIA NL) zich sterk richt op operational auditors. Dit<br />
komt tot uiting in de integratieovereenkomst die in maart 2007 is afgesloten tussen de VRO en de IIA NL.<br />
In de Gedrags- en Beroepsregels Register Operational auditors (GBRO) geeft de Vereniging van Register<br />
Operational auditors de regels aan die gelden voor haar leden. De IIA NL heeft zowel haar regels verwoord in<br />
haar Gedrags- en Beroepsregels Internal Auditors (GBRIA) als in de Code of Ethics. Onderstaand figuur geeft<br />
een overzicht van de eisen die vanuit deze beroepsorganisaties aan de IT en operational auditors worden gesteld:<br />
IT auditing Operational auditing<br />
Integriteit Integriteit<br />
Objectiviteit Objectiviteit<br />
Deskundigheid Deskundigheid<br />
Zorgvuldigheid Zorgvuldigheid<br />
Geheimhouding Vertrouwelijkheid<br />
Professioneel gedrag Ethiek<br />
Figuur 7: De eisen aan de IT en operational auditors vanuit de beroepsverenigingen<br />
Integriteit<br />
Zowel de Code of Ethics van de IIA NL en de NOREA als de GBRO en de GBRIA spreken over Integriteit. De<br />
Code of Ethics van de NOREA geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in<br />
beroepsmatige en zakelijke betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar<br />
zijn oordeel een bewering bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet<br />
volledig is of op meerdere manieren op te vatten is. In de GBRO en de GBRIA wordt de regel met betrekking tot<br />
integriteit enkel uitgewerkt in de eis dat de auditor geen functies mag aannemen en geen activiteiten mag<br />
uitvoeren die zijn functioneren als auditor zouden kunnen schaden. De Code of Ethics van de VRO werkt deze<br />
regel uitgebreider uit, en eist dat de auditor zijn werk eerlijk, toegewijd en verantwoord moet uitvoeren, dat hij de<br />
wet moet naleven, dat hij niet zal deelnemen aan illegale activiteiten of activiteiten die schadelijk kunnen zijn<br />
voor het beroep van Internal auditing of de organisatie én dat hij de wettelijke en ethische doelstellingen van de<br />
organisatie moet naleven en bevorderen.<br />
De richtlijnen van de NOREA, van de VRO en van de IIA NL komen dus sterk overeen in hun eisen ten aanzien<br />
van integriteit: allen geven aan dat de auditors eerlijk, toegewijd en verantwoord moeten optreden in<br />
beroepsmatige en zakelijke betrekkingen. De Code of Ethics van de VRO gaat alleen een stap verder door te<br />
stellen dat de auditor de wet moet naleven, niet mag deelnemen aan illegale activiteiten of activiteiten die<br />
schadelijk kunnen zijn voor het beroep van auditor.<br />
Objectiviteit<br />
De Code of Ethics van de NOREA stelt dat de IT auditor het niet mag accepteren dat zijn professioneel of<br />
zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een<br />
derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn professionele oordeelsvorming op een<br />
ongepaste wijze beïnvloedt.<br />
De Code of Ethics van de IIA NL geeft aan dat de internal auditor geen werkzaamheden mag uitvoeren die ertoe<br />
kunnen leiden dat zijn onbevooroordeelde mening geschaad zou kunnen worden, dat hij niets mag aannemen wat<br />
zijn professionele beoordeling zou kunnen schaden, en dat hij alle gegevens beschikbaar moet stellen die, als hij<br />
dat niet zou doen, de verslaggeving van de uitgevoerde werkzaamheden zou kunnen vertekenen. De GBRO en de<br />
GBRIA geven geen richtlijnen ten aanzien van objectiviteit.<br />
De Code of Ethics van de NOREA en de IIA NL geven dus beiden richtlijnen ten aanzien van objectiviteit door<br />
in te gaan op vooroordelen, belangentegenstelling en de professionele oordeelsvorming.<br />
26
Deskundigheid<br />
De Code of Ethics van de NOREA stelt dat de IT auditor zijn deskundigheid en vaardigheid op een niveau<br />
moeten houden dat noodzakelijk is om diensten te kunnen verlenen in overeenstemming met actuele<br />
ontwikkelingen in de praktijk, wetgeving en vaktechniek.<br />
Zowel de GBRO als de GBRIA stellen dat de auditor er voor moet zorgen dat zijn vaktechnische kennis en<br />
vaardigheden van voldoende niveau zijn en blijven en dat de auditor zijn werk in overeenstemming met de<br />
vaktechnische normen en standaarden uitvoert. De Code of Ethics van de IIA NL daarentegen werkt de eis van<br />
deskundigheid uit door te stellen dat de Internal auditor alleen die opdrachten mag vervullen waarvoor hij<br />
voldoende kennis, vaardigheden en ervaring bezit, dat hij zijn werk zo veel mogelijk moet uitvoeren in<br />
overeenstemming met de International Standards for the Professional Practice of Internal Auditing van de IIA en<br />
dat hij voortdurend moet zorgen voor kwaliteitsverbetering.<br />
Uit voorgaande blijkt dat de richtlijnen ten aanzien van deskundigheid grotendeels overeenkomen. Zij stellen<br />
namelijk allen dat de auditor alleen opdrachten mag vervullen<br />
waarvoor hij/zij voldoende kennis, vaardigheden en ervaring bezit, inclusief ten aanzien van het objectgebied<br />
waarop de audit zich richt.<br />
Zorgvuldigheid<br />
De Code of Ethics van de NOREA stelt dat de IT auditor zorgvuldig dient te handelen bij het verlenen van<br />
diensten en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.<br />
Zowel de GBRO als de GBRIA eisen dat de auditor zorgt voor een deugdelijke grondslag voor de door hem<br />
gegeven oordelen en adviezen, en voor het verstrekken van relevante informatie omtrent de uitkomsten van de<br />
onderzoeken. Daarnaast stelt de GBRO dat de operational Auditor zijn rapporten, oordelen en adviezen<br />
zorgvuldig moet formuleren en zich steeds bewust moet zijn van de toepasselijkheid van de gehanteerde<br />
werkmethoden. De GBRIA stelt in verband met zorgvuldigheid als aanvullende eisen dat de taakopdracht<br />
duidelijk omschreven moet zijn, dat de uitgevoerde werkzaamheden zodanig moeten worden vastgelegd dat zij<br />
een goed beeld geven van wat er is gedaan en dat deze registratie zeven jaar bewaard moet blijven. De Code of<br />
Ethics van de IIA NL daarentegen geeft geen richtlijnen ten aanzien van zorgvuldigheid, maar geeft een<br />
verwijzing naar een uitgebreide uitwerking in de Standards for the Professional Practice of Internal Auditing.<br />
Bij de vergelijking van de richtlijnen van de NOREA, de GBRO en de GBRIA ten aanzien van zorgvuldigheid<br />
valt op dat de richtlijn in de Code of Ethics van de NOREA veel algemener is gesteld dan de richtlijnen zoals<br />
deze zijn opgesteld in de GBRO en de GBRIA.<br />
Geheimhouding / Vertrouwelijkheid<br />
De Code of Ethics van de NOREA stelt dat de IT auditor een geheimhoudingsplicht heeft ten aanzien van zijn<br />
sociale relaties, de audit organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een<br />
cliënt of organisatie. De NOREA geeft geen specifieke richtlijnen ten aanzien van vertrouwelijkheid.<br />
De Code of Ethics van de IIA NL stelt dat de auditor de aan hem verschafte vertrouwelijke, cq. geheime<br />
informatie vertrouwelijk moet behandelen cq. geheim houden, tenzij hij door de wet hiervan moet afwijken.<br />
Bestudering van de verschillende richtlijnen ten aanzien van geheimhouding en verklaring laat zien dat de<br />
gehanteerde benamingen weliswaar verschillen, maar dat de betekenissen grotendeels gelijk zijn. Namelijk: de IT<br />
en de operational auditors moeten de aan hen toevertrouwde informatie vertrouwelijk behandelen cq. geheim<br />
houden.<br />
Professioneel Gedrag / Ethiek<br />
De Code of Ethics van de NOREA stelt dat de IT auditor zich dient te houden aan de relevante wet- en<br />
regelgeving en zich moet onthouden van handelingen die het audit beroep in diskrediet kunnen brengen. De regel<br />
van de VRO met betrekking tot ethische conflicten geeft aan dat de auditor het bestuur van zijn organisatie moet<br />
informeren wanneer hij van mening is dat hij door het uitvoeren van zijn werk gedrag moet vertonen dat in strijd<br />
is met de letter en/of geest van het reglement en hij daardoor zijn geloofwaardigheid en/of integriteit als RO-er<br />
zou schaden. Mocht deze strijdigheid niet naar zijn tevredenheid worden opgelost, dan moet de auditor het<br />
27
estuur van zijn organisatie en van de VRO gemotiveerd inlichten dat hij niet langer als een bij de VRO<br />
geregistreerde operational auditor kan werken.<br />
Ook bij deze eis verschillen de benamingen, maar in dit geval vertonen ook de uitwerkingen van de richtlijnen<br />
verschillen. De NOREA geeft aan dat de auditor zich moet houden aan relevante wet- en regelgeving, terwijl de<br />
VRO aangeeft welke stappen een auditor moet ondernemen in het geval van een ethisch conflict.<br />
Concluderend kunnen we stellen dat de eisen vanuit de beroepsorganisaties, ondanks een aantal afwijkingen, over<br />
het algemeen sterk overeenkomen en dat er vandaar uit dus weinig verschillen zijn ten aanzien van de wijze<br />
waarop de IT en operational auditors geacht worden te acteren. Opvallend in dit verband, is de integratie<br />
overeenkomst tussen de VRO en IIA is. Hoewel de IIA gericht is op internal auditors, en daarmee dus ook op IT<br />
auditors, lijkt de IIA zich door deze samenwerking met name te richten op operational auditors. Een nadere<br />
bestudering van de eisen vanuit de drie beroepsorganisaties laat zien dat er in ieder geval op dat vlak weinig<br />
belemmering is voor een eventuele aansluiting van de NOREA.<br />
5.7 Tot slot<br />
In dit hoofdstuk hebben wij de uitkomsten van het literatuuronderzoek, zoals behandeld in de voorgaande drie<br />
hoofdstukken, met elkaar in verband gebracht. Dit hebben wij gedaan teneinde een antwoord te geven op de<br />
eerste subvraag. Namelijk wat de verschillen en overeenkomsten zijn in de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits. Wat betreft deze aspecten hebben wij ons in het bijzonder gericht op de<br />
objecten, de kwaliteitsaspecten, de normen, de audit fases en de auditor.<br />
Uit deze analyse kwam het volgende naar voren:<br />
• De objecten komen bij beide vakgebieden sterk overeen, alleen is de optiek van waaruit zij deze<br />
objecten benaderen anders. Beiden kijken namelijk naar de organisatie, de bedrijfsvoering, de<br />
producten en de beheersing daarvan, alleen benadert IT auditing dit alles vanuit de<br />
informatiesystemen en operational auditing vanuit de organisatie in het algemeen;<br />
• Aspecten moeten worden bezien in relatie tot het object waar zij betrekking op hebben. Wanneer een<br />
aspect bij IT en operational auditing betrekking heeft op een zelfde object, is er op dit vlak geen<br />
verschil tussen beide vakgebieden;<br />
• Behalve Prince2 dat een projectenmethodiek is, verschillen de algemene normenkaders bij IT en<br />
operational auditing. Deze normenkaders komen namelijk voort uit methodieken die worden<br />
gehanteerd ten aanzien van specifieke onderwerpen, en deze onderwerpen zijn IT dan wel organisatie<br />
algemeen georiënteerd. Afhankelijk van het te toetsen object kunnen de twee vakgebieden wel goed<br />
elkaars algemene normenkaders gebruiken;<br />
• De audit fases zijn universeel en daarmee dus ook gelijk bij IT en operational auditing;<br />
• De eisen die de beroepsorganisaties stellen ten aanzien van de auditors vertonen sterke<br />
overeenkomsten. Daar waar er verschillen zijn, dan betreft het de benaming (geheimhouding versus<br />
vertrouwelijkheid) of de kracht van de eis (moeten voldoen aan wet- en regelgeving versus hoe te<br />
handelen bij een ethisch conflict).<br />
Het antwoord op de eerste subvraag luidt derhalve dat een groot aantal van de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits sterke overeenkomsten vertonen bij beide disciplines. Het betreft de<br />
objecten, de aspecten gerelateerd aan deze objecten, de audit fases en een groot aantal van de door de<br />
beroepsorganisaties aan de auditors gestelde eisen. De geconstateerde verschillen betreffen de optiek van waaruit<br />
de onderzoeksobjecten worden benaderd, de algemene normenkaders en de benaming en invulling van sommige<br />
eisen zoals de beroepsorganisaties die aan de auditors stellen.<br />
In het volgende hoofdstuk zullen wij deze uitkomsten mede gebruiken voor de beantwoording van de tweede<br />
subvraag, namelijk: “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol<br />
spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.<br />
28
6 Resultaten praktijkonderzoek<br />
6.1 Inleiding<br />
In aanvulling op ons literatuuronderzoek hebben wij een praktijkonderzoek uitgevoerd. Het doel van dit<br />
praktijkonderzoek is het in beeld brengen van hoe er wordt omgegaan met de verschillen en overeenkomsten in<br />
de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit<br />
functie. Zoals wij in het vorige hoofdstuk hebben gezien, blijken er vanuit de literatuur met name<br />
overeenkomsten en een aantal kleinere verschillen onderscheiden te kunnen worden in de aspecten die een rol<br />
spelen bij de uitvoering van IT en operational audits. Om vast te kunnen stellen welke invloed deze aspecten<br />
hebben op de wijze waarop de interne audit functies worden ingericht, hebben wij een (klein) praktijkonderzoek<br />
uitgevoerd. Dit praktijkonderzoek bestond uit het houden van een interview bij een organisatie mét en een<br />
organisatie zonder scheiding tussen IT en operational audit functies. Wij hebben ervoor gekozen om bij beide<br />
organisaties te spreken met een persoon die nauw betrokken is bij het bepalen van de wijze waarop auditors<br />
worden ingezet binnen de interne audit organisatie. Met deze opzet hebben wij ons gericht op de meer tactisch,<br />
operationele aspecten die voortvloeien uit de inrichting van de interne audit functie. Als organisaties hebben wij<br />
twee verschillende typen organisaties gekozen, namelijk een bank en een overheidsdienst.<br />
In dit hoofdstuk zullen wij bespreken hoe wij de interviews hebben opgezet, wat de uitkomsten zijn van deze<br />
gesprekken en wat de betekenis van deze resultaten is voor de beantwoording van onze tweede subvraag.<br />
6.2 Vragenlijst interviews<br />
De vragenlijsten die wij bij de twee interne audit diensten hebben afgenomen, hebben wij zoveel mogelijk laten<br />
aansluiten op de eerder besproken aspecten die een rol spelen bij de uitvoering van een audit en de eisen die<br />
worden gesteld aan de auditors. Het betreft vragen of er sprake is van een expliciet onderscheid tussen IT en<br />
operational auditors, hoe de audit planning plaatsvindt, welke normen er worden gehanteerd en welke<br />
opleidingseisen er worden gesteld aan de auditors. Omdat de focus van het praktijkonderzoek ligt op de<br />
inrichtingskeuze van de audit functies, hebben wij geen expliciete vragen opgenomen met betrekking tot de audit<br />
objecten, de kwaliteitsaspecten en de eisen aan de auditors vanuit de beroepsorganisaties. De reden hiervoor is<br />
dat de objecten indirect aan de orde komen bij de behandeling van de interne audit organisatie. Met betrekking tot<br />
de kwaliteitsaspecten geldt dat ze afhankelijk zijn van het betreffende object van onderzoek in de audit en het<br />
daarop ingaan te ver gaat voor dit praktijkonderzoek. Voor de eisen ten aanzien van de auditors richten wij ons<br />
op de opleidingseisen vanuit de organisaties. Het is mogelijk dat algemene aspecten als geografische spreiding<br />
van bedrijfsactiviteiten en de omvang van de IT organisatie een rol spelen bij de inrichting van de interne audit<br />
functies. Om deze reden hebben wij eerst algemene vragen gesteld over de organisatie in het algemeen en<br />
vervolgens over de interne audit organisatie in het bijzonder. Voor een volledig overzicht van de gebruikte<br />
vragenlijst verwijzen wij naar Bijlage A.<br />
6.3 Resultaten praktijkonderzoek<br />
Zoals eerder aangegeven hebben wij interviews gehouden met de leidinggevenden van een organisatie met én een<br />
organisatie zonder onderscheid in IT en operational audit functies. De eerste betrof de ABN AMRO Bank, de<br />
tweede het Ministerie van Justitie. Hieronder volgen de belangrijkste uitkomsten van de interviews. Voor een<br />
volledige weergave van de gesprekken, verwijzen wij naar de gespreksverslagen in bijlagen B1 en B2.<br />
6.3.1 Organisatie algemeen en interne audit organisatie<br />
Om een beeld te krijgen van de audit organisaties hebben wij eerst een aantal meer algemene vragen gesteld.<br />
Deze vragen zijn onder meer gericht op de grootte van de audit afdeling, de geografische dekking en of er een<br />
scheiding is tussen IT audit en operational audit.<br />
29
Schematisch zien de resultaten met betrekking tot de inrichting van de interne audit organisaties er als volgt uit:<br />
Group Audit ABN AMRO Departementale Audit Dienst Ministerie van<br />
Justitie<br />
Organisatie algemeen<br />
Type organisatie Financiële instelling Overheidsinstelling<br />
Aantal medewerkers Tussen 80.000 en 100.000 medewerkers Ongeveer 40.000 medewerkers<br />
Geografische dekking Wereldwijd Nederland<br />
Rol IT IT centrale rol tav bedrijfsprocessen IT primaire rol tav bedrijfsprocessen<br />
Aantal rekencentra Meerdere rekencentra wereldwijd verspreid 4 rekencentra in Nederland<br />
IT in huis of<br />
ge-outsourced<br />
IT ge-outsourced (beheer) en ge-offshored<br />
(ontwikkeling)<br />
Interne audit organisatie<br />
Grootte audit afdeling 850 medewerkers 40 medewerkers<br />
Beheer IT in huis. De systemen voor de<br />
salarisadministratie ge-outsourced en ondersteuning<br />
en ontwikkeling applicaties ingekocht<br />
Aantal IT auditors 97 medewerkers 3.5 FTE audit pool<br />
Scheiding operational en IT<br />
audit<br />
Wel scheiding Geen scheiding<br />
Type uitgevoerde audit • Audits op bestaande situatie, bijv. • Thema audits;<br />
bedrijfsprocessen en functionele gebieden; • Project audits;<br />
• Audits op veranderingen;<br />
• Jaarrekening controles;<br />
• Sox testen;<br />
• Adviesopdrachten;<br />
• Speciale onderzoeken;<br />
• Speciale onderzoeken, naar bijv. ketens en<br />
• Due diligence onderzoeken.<br />
integriteit.<br />
Uitvoering technische audits Door (technical) IT auditors Door (specialistische) EDP auditors<br />
Uitvoering General IT<br />
Control audits<br />
Door (technical) IT auditors Door EDP auditors<br />
Uitvoering logische<br />
• Opzet en bestaan door IT en operational Door EDP auditors<br />
toegangsbeveiliging audit auditors vanuit veranderingsaudits;<br />
• Werking door operational auditors.<br />
Gezamenlijke audits • Landen audits;<br />
Ja, aangezien geen scheiding IT en operational<br />
• Speciale projecten, zoals Basel II<br />
audit.<br />
Figuur 8: Overzicht van de organisaties in het algemeen en de interne audit organisaties van ABN AMRO en het Ministerie van Justitie<br />
Group Audit ABN AMRO<br />
De audit afdeling van de ABN AMRO, ‘Group Audit’, bestaat uit 850 medewerkers, waaronder 97 IT auditors.<br />
Group Audit bestaat uit een centrale audit afdeling, plus de regionale audit afdelingen die zorgen voor de locale<br />
dekking in elke regio waar ABN AMRO actief is. Bij de interne audit organisatie van de ABN AMRO is bewust<br />
gekozen voor een scheiding tussen de operational auditors en de IT auditors. De motivatie voor de scheiding is<br />
tweeledig:<br />
1. De operational auditors zijn generalisten die niet zo’n diepgaande kennis van systemen op kunnen doen<br />
als de IT auditors;<br />
2. De technical auditors kunnen de gap met de business niet dichten.<br />
Binnen IT audit is er sprake van een tweetal disciplines, namelijk system audit en technical IT audit. De system<br />
auditors zijn verantwoordelijk voor het auditen van de applicaties en de technical IT auditors voor het auditen van<br />
de infrastructurele componenten en de General IT Controls. Met betrekking tot operational audit kan gezegd<br />
worden dat er in alle regio’s generalisten zitten, en die generalisten zijn de operational auditors. Zij zijn meer<br />
werkwijze georiënteerd dan een specialist op een bepaald gebied. Bij IT audit is dat anders, daar heb je juist wel<br />
specialisten.<br />
Binnen Group Audit worden de audits naar de General IT Controls in principe uitgevoerd door de technical IT<br />
auditors. Wanneer system auditors General IT Controls meenemen in hun audits dienen zij met de technical<br />
auditors af te stemmen en te toetsen of het nodig is dat zij dat doen en of zij het op de juiste wijze doen. Naast de<br />
audits op de bestaande situatie vinden er ook veranderingsaudits plaats. Deze audits worden door IT en<br />
operational auditors gezamenlijk uitgevoerd, evenals landen audits en audits naar speciale projecten. De opzet en<br />
30
estaan van de logische toegangsbeveiliging wordt veelal getoetst vanuit een veranderingsaudit. De werking van<br />
de logische toegangsbeveiliging wordt primair getoetst door de operational auditors. De jaarrekening controle<br />
wordt door externe audit organisaties uitgevoerd.<br />
Departementale Audit Dienst Ministerie van Justitie<br />
Bij de interne audit dienst van het Ministerie van Justitie, de ‘Departementale Audit Dienst’, werken ongeveer<br />
40 medewerkers. Daarnaast kunnen ze aanspraak maken op 3.5 FTE uit de EDP audit pool en is er budget<br />
beschikbaar voor het inhuren van externen. De audit dienst is ingedeeld in een drietal (klantgerichte) clusters. Bij<br />
de Departementale Audit Dienst is er bewust voor gekozen om geen scheiding tussen operational en IT audit te<br />
hebben, aangezien dat beter is voor de carrière mogelijkheden van de auditors. Als voordelen voor de scheiding<br />
worden onder andere genoemd de mogelijkheid van het uitvoeren van geïntegreerde audits en het klantgericht, in<br />
plaats van productgericht, inrichten van de audit functie. Nadelen die worden genoemd zijn het moeilijk<br />
onderhouden van kennis en het ontbreken van inzicht in de optimale inzet van de (kennis van de) medewerkers.<br />
Hoewel er bij de Departementale Audit Dienst geen functioneel onderscheid is tussen IT en operational auditors,<br />
worden audits waarbij specialistische IT kennis nodig is toch voornamelijk uitgevoerd door IT auditors. De audits<br />
naar General IT Controls worden uitgevoerd door de IT auditors van de Departementale Audit Dienst. Het komt<br />
zelden voor dat een operational auditor een audit naar General IT Controls uitvoert. Hetzelfde geldt voor de<br />
logische toegangsbeveiliging. Er worden vrij veel project audits uitgevoerd en tevens vindt de jaarrekening<br />
controle plaats. Deze laatste wordt vooral door extern ingehuurde auditors uitgevoerd.<br />
6.3.2 Normen<br />
Onderstaand overzicht geeft schematisch weer welke normenkaders de twee audit diensten gebruiken:<br />
Group Audit ABN AMRO Departementale Audit Dienst Ministerie van Justitie<br />
Algemene normenkaders IT audit: CobiT<br />
Operational audit: COSO<br />
ITIL, CobiT en COSO<br />
Interne normenkaders Interne ABN AMRO regels Voorschrift Informatiebeveiliging Rijksdienst (VIR)<br />
Handboek Auditing Rijksoverheid<br />
Audit programma’s Standaard, centraal opgestelde audit<br />
programma’s toegesneden op audit<br />
Geen standaard audit programma’s<br />
Figuur 9: Overzicht van de gebruikte normenkaders binnen ABN AMRO en het Ministerie van Justitie<br />
Group Audit ABN AMRO<br />
Bij Group Audit vindt iedere audit plaats op basis van een, op de audit toegesneden, audit programma. Bij<br />
operational audit wordt COSO als algemeen normenkader gebruikt. Bij IT audit wordt CobiT als vertrekpunt en<br />
als referentie voor de toetsing van de volledigheid van het audit programma gebruikt. In beide gevallen geldt dat<br />
deze algemene normenkaders niet worden gehanteerd als richtinggevende normen. Andere toetsingscriteria die<br />
binnen ABN AMRO Bank worden gebruikt zijn de eigen ABN AMRO regels, algemene sound practices zoals<br />
ITIL, de richtingbepalende criteria die komen van de Nederlandse Vereniging van Banken en de sound practices<br />
uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA.<br />
Departementale Audit Dienst Ministerie van Justitie<br />
Bij de Departementale Audit Dienst worden als algemeen normenkader ITIL, CobiT en COSO gehanteerd.<br />
Daarnaast is er het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Dit is het interne normenkader dat is<br />
gebaseerd op de Code voor Informatiebeveiliging. De Departementale Audit Dienst maakt geen gebruik van<br />
standaard audit programma’s. Wel is er een handboek Auditing Rijksoverheid waarin richtlijnen zijn opgenomen<br />
voor het uitvoeren van audits, zowel met betrekking tot de jaarrekeningcontrole als met betrekking tot de overige<br />
audits (IT en operational audits).<br />
6.3.3 De audit planning<br />
Group Audit ABN AMRO<br />
Binnen Group Audit is er een verschil tussen het opzetten van de planning van operational audits en het opzetten<br />
van de planning van de IT audits. De (regionale en centrale) operational audit teams bepalen zelfstandig hun<br />
planning op basis van risico analyses, terwijl er bij IT Audit centrale thema’s/objecten zijn bepaald die regionaal<br />
31
afgedekt moeten worden. De regio’s zijn vervolgens wel weer vrij om te bepalen hoe zij deze thema’s zullen<br />
afdekken. De IT en operational audit planningen worden op elkaar afgestemd.<br />
Departementale Audit Dienst Ministerie van Justitie<br />
De planning van de Departementale Audit Dienst van het Ministerie van Justitie wordt opgezet aan de hand van<br />
risicoanalyses. De departementen voeren risicoanalyses uit en van daar uit worden de belangrijkste thema’s<br />
gedestilleerd. Per thema worden de audits gedefinieerd, die uiteindelijk per kwartaal worden gepland.<br />
6.3.4 De auditor<br />
Group Audit ABN AMRO<br />
Group Audit stelt specifieke opleidingseisen per audit specialisme. Binnen Nederland dienen de auditors over een<br />
R-titel (RA, RO, RE of RC) te beschikken of er voor in opleiding te zijn. In de overige regio’s dienen de auditors<br />
over een C-titel te beschikken, bijvoorbeeld CIA, CPA, CMA of CISA. Vanuit Group Audit stromen<br />
medewerkers door naar alle geledingen van de ABN AMRO Bank, zowel binnen als buiten Group Audit. Binnen<br />
Group Audit komt het voor dat IT auditors overstappen naar operational audit, maar de overstap van operational<br />
audit naar IT audit vindt veel minder vaak plaats.<br />
Departementale Audit Dienst Ministerie van Justitie<br />
De auditors binnen de Departementale Audit Dienst zijn geen specialisten maar generalisten, wel heeft iedereen<br />
een R-titel (RA, RO, RE etc). De organisatie kent geen onderscheid tussen de RA, RO en RE functie. De RE-ers<br />
zullen misschien meer op IT aspecten worden ingezet, maar RO-ers zullen dit even goed moeten doen. Zowel<br />
organisatorisch als functie inhoudelijk is er dus geen onderscheid tussen type auditors. Bij de Departementale<br />
Audit Dienst streeft men er naar dat een auditor in een periode van 7 tot 8 jaar doorgroeit naar een management<br />
functie binnen, dan wel buiten de audit dienst. Juist het niet hebben van een onderscheid tussen IT en operational<br />
auditing zou aan deze doorstroming moeten bijdragen.<br />
6.4 Tot slot<br />
Het praktijkonderzoek was gericht op het in beeld brengen van hoe wordt omgegaan met de verschillen en de<br />
overeenkomsten in aspecten die een rol spelen bij de uitvoering van IT en operational audits voor de inrichting<br />
van de interne audit functies. Teneinde deze vraag te beantwoorden hebben wij vragen gesteld aan de<br />
leidinggevende van een organisatie met én de leidinggevende van een organisatie zonder onderscheid in IT audit<br />
en operational audit functies. Deze vragen hadden onder andere betrekking op de interne audit organisatie, de<br />
soorten uitgevoerde audits, de gehanteerde normen, de audit planning en de aan de auditors gestelde<br />
opleidingseisen.<br />
Uit dit praktijkonderzoek kwam het volgende naar voren:<br />
• De interne audit dienst van de ABN AMRO Bank is aanzienlijk groter dan die van het Ministerie van<br />
Justitie. Daar waar ABN AMRO Bank 850 auditors in dienst heeft, heeft het Ministerie van Justitie er 40.<br />
Van die 850 audit medewerkers bij de ABN AMRO Bank zijn 97 IT auditors, terwijl het Ministerie van<br />
Justitie naast de 40 audit medewerkers aanspraak kan maken op 3.5 fte uit de EDP audit pool. Dat deze<br />
verschillen in aantallen direct samenhangen met de omvang van de organisatie waar de twee interne audit<br />
diensten zich op richten, kunnen we niet direct concluderen. Immers, bij de ABN AMRO Bank werken<br />
tussen de 80.000 en 100.000 medewerkers en bij het Ministerie van Justitie 40.000. Een verklaring voor<br />
dit verschil ligt mogelijk in andere verschillen tussen de twee door ons onderzochte organisaties.<br />
Namelijk in het type organisatie (een financiële instelling versus een overheidsinstelling), de<br />
geografische spreiding (wereldwijd versus in Nederland) en het aantal datacentra (meerderen wereldwijd<br />
versus vier in Nederland). Of dit echter ook daadwerkelijk zo is zou in een vervolg onderzoek getoetst<br />
kunnen worden;<br />
• Zowel bij de ABN AMRO Bank als bij de Departementale Audit Dienst van het Ministerie van Justitie is<br />
een bewuste keuze gemaakt voor het hebben van een onderscheid, cq. voor het hebben van geen<br />
onderscheid tussen IT en operational audit functies. Wat opvalt is dat hoewel er bij de Departementale<br />
Audit Dienst geen sprake is van een onderscheid tussen IT en operational audit functies, in de praktijk de<br />
32
IT matige aspecten toch door een IT auditor worden uitgevoerd. Bij ABN AMRO valt op dat ondanks het<br />
expliciet onderscheid tussen IT audit en operational audit functies, een aantal audits gezamenlijk door IT<br />
auditors en operational auditors worden uitgevoerd. Dit betrof veranderingsaudits en audits naar<br />
projecten. In het bijzonder bij de veranderingsaudits toetsen de IT en de operational auditors gezamenlijk<br />
de opzet en het bestaan van de logische toegangsbeveiliging;<br />
• Met betrekking tot de gehanteerde normen hebben wij geconstateerd dat beide audit diensten gebruik<br />
maken van algemene en organisatie specifieke normenkaders. Tevens zagen wij dat de audit dienst van<br />
ABN AMRO, ter ondersteuning van de uitvoering van audits, gebruik maakt van standaard audit<br />
programma’s en het Ministerie van Justitie niet. Mogelijk dat de omvang van de audit organisatie van<br />
ABN AMRO Bank een dergelijke standaardisatie noodzakelijk maakt. Ook deze mogelijke samenhang<br />
zou een onderwerp voor een eventueel vervolgonderzoek kunnen zijn;<br />
• De twee interne audit diensten komen sterk overeen wat betreft de wijze waarop de planningen tot stand<br />
komen. Zowel voor de operational audits van ABN AMRO Bank als voor de audits van het Ministerie<br />
van Justitie komt de audit planning tot stand op basis van risico analyses. Alleen de planning van de IT<br />
audits bij de ABN AMRO is gebaseerd op centraal bepaalde thema’s. Hoe deze thema’s worden bepaald<br />
hebben wij niet onderzocht. Mogelijk zijn ook deze gebaseerd op een risico analyse;<br />
• De aan de auditors gestelde opleidingseisen verschillen niet. Beide organisaties eisen dat de auditors een<br />
post doctorale audit opleiding volgen. Opvallend was dat hoewel ABN AMRO Bank een onderscheid<br />
maakt tussen IT en operational auditing functies, zij aan haar auditors geen eisen stelt ten aanzien van de<br />
te volgen dan wel gevolgde post doctorale opleiding. Belangrijker is de affiniteit met het vakgebied dat<br />
wordt beoordeeld.<br />
Op basis van bovenstaande resultaten kunnen wij het volgende antwoord geven op de tweede subvraag, “Hoe<br />
wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT<br />
en Operational audits bij de inrichting van de interne audit functie?”: Met name het verschil in de optiek van waar<br />
uit de audit objecten worden getoetst heeft invloed op de inrichting van de interne audit functie, meer in het<br />
bijzonder op het maken van een onderscheid tussen IT en operational auditing functies. Uit ons onderzoek is<br />
namelijk gebleken dat bij beide organisaties de IT-matige aspecten door IT auditors worden getoetst en niet door<br />
operational auditors. Tevens kunnen wij hieruit concluderen dat het niet uitmaakt hoe de IT en Operational<br />
auditors binnen een organisatie zijn ingedeeld, in één team opererend of niet. Immers, hoewel het Ministerie van<br />
Justitie formeel geen onderscheid maakt tussen IT en operational auditors, zet zij toch IT auditors in voor het<br />
toetsen van de meer complexere IT objecten, de General IT controls en de logische toegangsbeveiliging, en niet<br />
operational auditors. Met betrekking tot de overige aspecten gingen de twee door ons onderzochte organisaties<br />
hetzelfde om: beide audit diensten voeren speciale onderzoeken en project audits uit, hanteren algemene en<br />
interne normen, maken de audit planning op basis van een risico analyse en eisen dat de auditors een post<br />
doctorale audit opleiding volgen. .<br />
In het volgend hoofdstuk zullen wij de resultaten zoals gepresenteerd in dit en vorig hoofdstuk met elkaar in<br />
verband brengen ten einde een antwoord te kunnen geven op de hoofdvraag. Namelijk: “Wat is het optimale<br />
model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid<br />
tussen IT en operational auditing?”<br />
33
7 Conclusies en aanbevelingen<br />
7.1 Inleiding<br />
Onze <strong>scriptie</strong> richtte zich op de volgende hoofdvraag:<br />
“Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven<br />
het onderscheid tussen IT en operational auditing?”<br />
Voor het beantwoorden van deze hoofdvraag, hebben wij twee subvragen geformuleerd. Deze luidden:<br />
1. “Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en<br />
overeenkomsten bestaan er hier tussen?”;<br />
2. “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.<br />
Voor de behandeling van de eerste subvraag hebben wij een literatuurstudie uitgevoerd naar aspecten die een rol<br />
spelen bij auditing in het algemeen, en bij IT auditing en operational auditing in het bijzonder. De uitkomsten<br />
hiervan zijn beschreven in respectievelijk hoofdstukken 2, 3 en 4. Hoofdstuk 5 bevat een vergelijking van de<br />
belangrijkste uitkomsten, waarmee de verschillen en overeenkomsten tussen de aspecten verbonden aan de<br />
uitvoering van IT en operational audits in beeld zijn gebracht. Voor de behandeling van de tweede subvraag<br />
hebben wij een praktijkonderzoek uitgevoerd, waarvan de resultaten in hoofdstuk 6 zijn weergegeven.<br />
In dit hoofdstuk zullen wij aan de hand van de antwoorden op de twee subvragen een antwoord geven op de<br />
hoofdvraag. Tot slot zullen wij aan de hand van dit antwoord evalueren wat dit betekent voor de huidige<br />
inrichting van de interne audit functies.<br />
7.2 Conclusies<br />
Op basis van ons literatuuronderzoek zijn wij tot het volgende antwoord gekomen op de eerste subvraag:<br />
Algemene aspecten die een rol spelen bij de uitvoering van IT en operational audits zijn de soorten audits, de<br />
onderzoeksobjecten, de kwaliteitsaspecten, de normen, de audit fases en de aan de auditor gestelde eisen vanuit<br />
de beroepsorganisaties. Bij de twee audit disciplines bleken de aspecten alleen te verschillen met betrekking tot<br />
de optiek van waaruit de disciplines de objecten benaderen, de algemene normenkaders en de benaming en<br />
invulling van enkele eisen van de beroepsorganisaties. Alle andere aspecten vertoonden sterke overeenkomsten.<br />
De tweede subvraag hebben wij naar aanleiding van ons praktijkonderzoek als volgt beantwoord:<br />
Met name het verschil in de optiek van waaruit de audit objecten worden getoetst heeft invloed op de inrichting<br />
van de interne audit functie, meer in het bijzonder op het maken van een onderscheid tussen IT en operational<br />
auditing functies. De meer complexe IT objecten blijken in de praktijk door IT auditors te worden uitgevoerd en<br />
niet operational auditors. Met de overige aan de uitvoering van een audit verbonden aspecten gingen de twee<br />
door ons onderzochte organisaties hetzelfde om. Onafhankelijk of er al dan niet een formeel onderscheid is<br />
tussen IT en operational auditors, worden er diverse soorten audits gezamenlijk uitgevoerd door IT en operational<br />
auditors, hanteert men zowel algemene als interne normen, wordt de planning op basis van risico analyses<br />
gemaakt en eist men dat de auditors een post doctorale audit opleiding volgen.<br />
Uit de resultaten van ons literatuur- en praktijkonderzoek maken wij het volgende op: Van de theoretische<br />
verschillen in de aspecten verbonden aan de uitvoering van een audit, zagen wij in de praktijk dat met name de<br />
optiek van waaruit de onderzoeksobjecten worden benaderd een rol speelt bij de inrichting van de audit functies.<br />
Dat wil zeggen in het al dan niet maken van een onderscheid tussen IT en operational auditors. Daar wij een<br />
bedrijf met én een bedrijf zonder expliciete scheiding tussen audit functies hebben onderzocht, lijken deze<br />
resultaten erop te duiden dat het niet uitmaakt hoe de IT en operational auditors worden ingedeeld. Dit wordt<br />
34
evestigd doordat de aspecten verbonden aan de uitvoering van audits zoals de normen, de audit planning en de<br />
opleidingseisen niet bleken te verschillen bij de twee door ons onderzochte organisaties. Dat de IT auditors en de<br />
operational auditors de objecten met een andere optiek benaderen hoeft geen probleem te zijn. Integendeel, deze<br />
twee benaderingen vormen juist een waardevolle aanvulling op elkaar. Wij zeggen expliciet “deze resultaten<br />
lijken er op te duiden”, aangezien ons praktijkonderzoek een verkennend karakter had en slechts twee<br />
organisaties omvatte. Voor een stelligere uitspraak zouden bij het onderzoek meer bedrijven .betrokken zijn<br />
geweest.<br />
Een vervolgonderzoek zou dan ook kunnen kijken naar de invloed van de type en de omvang van de organisatie<br />
op de keuze van inrichting van de interne audit functies. Zoals wij hebben gezien dat de ABN AMRO Bank een<br />
veel grotere audit dienst heeft dan het Ministerie van Justitie en een onderscheid maakt tussen IT en operational<br />
auditors, zo bleek ook uit een recent onderzoek naar interne audit diensten dat hoe groter de audit dienst, des te<br />
meer er sprake was van specialisme (Vos en Arif, 2007). En hoe groter de organisatie, des te groter de audit<br />
dienst. Bovendien bleek uit dat onderzoek dat hoewel de meeste ondernemingen de audit functie breed hadden<br />
ingevuld, de financiële instellingen een grote operational en IT audit functie hadden.<br />
Het bovenstaande in ogenschouw nemend kunnen wij de hoofdvraag ,“Wat is het optimale model van<br />
inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid tussen IT en<br />
operational auditing?” als volgt beantwoorden:<br />
Gegeven het onderscheid tussen IT en operational auditing is een separate positionering van IT en operational<br />
auditors niet noodzakelijk. Vanuit de behoefte aan een totaal benadering van risicobeheersing vullen de twee type<br />
auditors elkaar juist goed aan met hun verschillende benaderingswijze van de onderzoeksobjecten. Een expliciete<br />
uitspraak over een optimaal model van inrichting van audit functies kunnen wij niet doen aangezien factoren als<br />
type en de omvang van de organisatie een mogelijke rol spelen. Deze aspecten hadden wij niet meegenomen in<br />
ons onderzoek.<br />
7.3 Aanbeveling<br />
Als aanbeveling willen wij meegeven om in een interne audit organisatie IT en operational auditors nauw met<br />
elkaar samen te laten werken, met name om gebruik te kunnen maken van hun verschillen in benadering van de<br />
audit objecten. Bijkomende voordelen hiervan zullen zijn, dat de operational auditors in hun beoordeling van de<br />
beheersingsmaatregelen ook de in de bedrijfsvoering verweven IT systemen in ogenschouw kunnen nemen en dat<br />
de IT auditors de IT systemen meer vanuit organisatieperspectief kunnen bekijken. In de praktijk zien we hier al<br />
wel een neiging toe bij de gezamenlijk inzet van IT en operational auditors bij de uitvoering van project audits,<br />
maar dit kan natuurlijk ook bij de uitvoering van reguliere audits.<br />
35
8 Evaluatie<br />
Bij het begin van het proces van het schrijven van de <strong>scriptie</strong>, namelijk het vaststellen van het <strong>scriptie</strong> onderwerp,<br />
zagen wij een veelheid aan interessante deelonderwerpen waaraan we aandacht zouden kunnen besteden.<br />
Namelijk de audit programma’s die worden gebruikt, de opleidingen die de auditors volgen, het maken van de<br />
audit planningen, etcetera. Juist deze veelheid aan deelonderwerpen die direct in verband kunnen worden<br />
gebracht met het onderwerp van onze <strong>scriptie</strong>, maakte dat wij bij de daadwerkelijke uitwerking regelmatig<br />
onszelf tot de orde hebben moeten roepen en de focus van onze <strong>scriptie</strong> terug moeten brengen tot een selectie van<br />
onderwerpen.<br />
Bij het schrijven van de <strong>scriptie</strong> hebben wij uiteindelijk veel meer de nadruk gelegd op het literatuuronderzoek.<br />
Hierdoor hadden wij moeite om ons praktijkonderzoek nog steeds te richten op de beantwoording van de<br />
hoofdvraag. Gelukkig bracht het praktijkonderzoek ons toch interessante resultaten. Zoals het feit dat de in ons<br />
literatuuronderzoek aangetroffen overeenkomsten in de aspecten verbonden aan de uitvoering van IT en<br />
operational audits in de praktijk werd bevestigd. Ook het feit dat in een organisatie zonder onderscheid tussen IT<br />
en operational auditing functies de IT matige aspecten door IT auditors worden getoetst, was opvallend. Tevens<br />
lijkt er een relatie te bestaan tussen het al dan niet hebben van een onderscheid tussen IT en operational auditors<br />
en de omvang van de audit organisatie. Of dit verband inderdaad bestaat zou in een vervolg onderzoek getoetst<br />
kunnen worden.<br />
36
Literatuurlijst<br />
Biene-Hershey, M.E. van (1996), IT Auditing: An object oriented approach.<br />
Cock, L. de en A. Molenkamp (2004), De toegevoegde waarde van de auditor, Tijdschrift Controlling nr.3, maart<br />
2004, pp. 28-30.<br />
Driessen, A.J.G. en A. Molenkamp (2004), Operational auditing: Een Managementkundige benadering van<br />
internal auditing, Kluwer.<br />
Hartog, P. en Kerk, J. van der (1999), Vier Stappen naar een geïntegreerde Audit-functie, Auditing.nl /Tijdschrift<br />
Controlling 1999.<br />
Hartog, P. en Korte, R. de (2005), IT-audit en operational audit: eenmanszaken of maten?, de EDP-auditor<br />
nummer 2, pp. 20-27.<br />
Kocks, C. (2003), Auditing, audit, auditor, wat moeten we ermee?, Twintig Over…Internal/Operational auditing:<br />
bijdragen aan governance & control, pp. 141-173.<br />
Korte, R. de (2004), De samenwerking tussen de IT-auditor en de internal/operational auditor, Auditing.nl 2004.<br />
Mollema, K. en G. van der Pijl (2005), Audit tussen strategie en verandering, IT-auditing, januari/februari 2005,<br />
pp. 17-23.<br />
NOREA (2003), Handreiking, oordelen van gekwalificeerde IT-auditors.<br />
NOREA (2006), Jaarboek 2006/2007.<br />
Paape, L. (2005), Internal audit, een gezonde toekomst voor de boeg!? Deel2, Auditing.nl 2005.<br />
Praat, J. van en H. Suerink (2004), Inleiding EDP-auditing, ten Hage & Stam uitgevers.<br />
Vos, R. en Arif, N. (2007). Ontwikkelingen in de interne auditfunctie in het bedrijfsleven.<br />
VU (2006), Reader Auditing, Eerstejaars college 2006.<br />
VU (2006), Reader BIV Basics, Eerstejaars college 2006.<br />
37
BIJLAGEN<br />
A Vragenlijst<br />
Organisatie algemeen:<br />
1. Wat voor een type organisatie is het? Wat zijn de belangrijkste bedrijfsprocessen? Welke rol speelt IT daarbij?<br />
2. Hoe is de organisatie georganiseerd, gestructureerd (geografisch, organisatorisch)?<br />
3. Uit hoeveel medewerkers bestaat het?<br />
4. Welke IT is er in huis, is er een datacentrum, is er sprake van outsourcing, worden programma’s in-huis<br />
ontwikkeld, etc?<br />
Interne audit organisatie:<br />
1. Hoe is de interne audit organisatie ingericht, met of zonder onderscheid tussen IT en operational auditing<br />
functies?<br />
2. Waarom is er voor deze inrichting gekozen?<br />
3. Wat voor een soort audits worden er intern uitgevoerd?<br />
4. Door wie worden deze uitgevoerd?<br />
5. Hoe vindt de planning plaats?<br />
6. Welke normenkaders worden er gebruikt?<br />
Bij scheiding IT en operational audit:<br />
1. Wat zijn de voor en de nadelen van het hebben van een scheiding?<br />
2. Welke type IT/ operational audits vinden er plaats? En welke andere werkzaamheden (advies, speciale<br />
onderzoeken, due diligence, sox, sas, etc)<br />
3. Is er een onderscheid binnen IT en operational audit (bijv. technical vs. system audit, en proces en project<br />
audits, etc)?<br />
4. Worden er General IT audits gedaan en door wie?<br />
5. Wie controleert de logische toegangsbeveiliging?<br />
6. Vinden er gezamenlijke audits plaats? In welke gevallen?<br />
7. Hoe zit het met de overlap gebieden, qua afstemming? Komt dit terug in de audit programma’s?<br />
8. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc?<br />
9. Worden IT/ operational auditors ook ingezet op andere audits? En om wat voor een soort audits gaat dat dan?<br />
Bij geen scheiding IT en operational audit:<br />
1. Wat zijn de voor en de nadelen van het niet hebben van een scheiding?<br />
2. Welke type audits vinden er plaats? En welke andere werkzaamheden (advies, speciale onderzoeken, due<br />
diligence, sox, sas, etc)?<br />
3. Wie voert welke type audit uit?<br />
4. Is er specifieke kennis van IT nodig?<br />
5. Wie voert de echte technische audits uit, bijvoorbeeld firewall settings/netwerk/etc?<br />
6. Worden er General IT audits gedaan en door wie?<br />
7. Wie controleert de logische toegangsbeveiliging?<br />
8. Hoe zijn de audit programma’s opgesteld en hoe komen daar de verschillende disciplines in terug<br />
(geïntegreerd of specifiek)?<br />
9. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc?<br />
10. Zijn er wel gespecialiseerde (IT en operational) auditors binnen de organisatie en hoe worden zij ingezet?<br />
11. Hoe worden de mensen verdeeld over de audits? Hebben zijaandachtsgebieden/ specialismen/ etc?<br />
38
B Uitgebreide resultaten praktijkonderzoek<br />
1. Interview ABN AMRO BANK NV, Global Head IT Audit, Hans Lameijer RE<br />
Organisatie algemeen:<br />
1. Wat voor een type organisatie is het? Wat zijn de belangrijkste bedrijfsprocessen? Welke rol speelt IT<br />
daarbij?<br />
ABN AMRO Bank is een financiële instelling met een matrix organisatie.<br />
De belangrijkste bedrijfsprocessen zijn:<br />
- waarde creëren voor de aandeelhouders;<br />
- bewaren van geld;<br />
- aantrekken en uitgifte van geld;<br />
- transformatie;<br />
- tevreden klanten;<br />
- gemotiveerde medewerker.<br />
De rol van IT is die van een enabler. Zonder IT zouden producten niet aangeboden kunnen worden, dit in verband<br />
met hun complexiteit bij Wholesale banking en de volumes bij Retail banking.<br />
2. Hoe is de organisatie georganiseerd, gestructureerd (geografisch, organisatorisch)?<br />
De ABN AMRO Bank is zowel geografisch als functioneel opgedeeld. Binnen de bank is de geografische<br />
opdeling in regio’s, namelijk: Europa, Azië, Latijns-Amerika, de Verenigde Staten en Nederland. De functionele<br />
indeling is als volgt: Risk, Compliance, Finance, Services, Operations, Corporate Services, Transaction Banking,<br />
Global Markets en Global Clients.<br />
3. Uit hoeveel medewerkers bestaat het?<br />
Op dit moment heeft de bank wereldwijd tussen de 80.000 en 100.000 medewerkers.<br />
4. Welke IT is er in huis, is er een datacentrum, is er sprake van outsourcing, worden programma’s in-huis<br />
ontwikkeld, etc?<br />
Binnen de bank heeft men gekozen voor outsourcing en offshoring. Systeem ontwikkeling is grotendeels geoffshored<br />
naar India en het beheer is ge-outsourced. Er vindt bijna geen in-huis ontwikkeling plaats. De ABN<br />
AMRO heeft in alle regio’s datacenters.<br />
Interne audit organisatie:<br />
1. Hoe is de interne audit organisatie ingericht, met of zonder onderscheid tussen IT en operational auditing<br />
functies?<br />
Binnen de bank heeft de audit organisatie de naam Group Audit. Het hoofd van Group Audit is de Chief Audit<br />
Executive (CAE). De CAE rapporteert aan het Audit Committee en aan de voorzitter van de Raad van Bestuur.<br />
Group Audit spiegelt zich aan de klantorganisatie en heeft daardoor ook een matrix organisatie. Er is in elke regio<br />
een audit organisatie voor de locale afdekking, en daar bovenop is er een centrale audit afdeling. Daar waar<br />
mogelijk is er in iedere regio een specialist voor elk functioneel gebied, product of cliënt groep. Deze specialisten<br />
zijn de linking pin naar de centraal verantwoordelijke, de zogenaamde Global Expert Group. De centrale functie<br />
bepaalt de minimale standaarden, en de uitvoering ligt bij de regio’s.<br />
Binnen Group Audit is er gekozen voor een scheiding tussen Financial, Operational en IT Audit. De uiteindelijke<br />
inrichting van de audit organisatie kan verschillen per regio. Zo is audit in de regio Azië veel meer per land<br />
ingericht en in de regio’s VS en Nederland veel meer per functioneel gebied. Daarnaast zijn sommige<br />
specialismen veel meer centraal dan regionaal aanwezig, zoals bij Risk en Compliance. Voor IT is er gekozen<br />
39
voor het model van Hubbing. Dit houdt in dat er naast de centrale IT audit afdeling, een IT audit<br />
vertegenwoordiging is in die landen waar een concentratie is van IT. De belangrijkste reden voor deze opzet is<br />
die van kennisopbouw bij de auditors. Daarnaast zijn de kosten van belang. Er wordt een afweging gemaakt of<br />
het rendabeler is om een IT auditor in een bepaald land te plaatsen of om een IT auditor vanuit de centrale<br />
organisatie of de regio heen en weer te laten reizen.<br />
Met betrekking tot operational audit kan gezegd worden dat er in alle regio’s generalisten zitten, en die<br />
generalisten zijn de operational auditors. Zij zijn meer werkwijze georiënteerd dan een specialist op een bepaald<br />
gebied. Bij IT audit is dat anders, daar heb je juist wel specialisten. Het onderscheid vertaalt zich terug in regio’s<br />
met clusters operational auditors, aangevuld met specialisten voor IT, Risk en Compliance.<br />
2. Waarom is er voor deze inrichting gekozen?<br />
Hans geeft aan dat de scheiding tussen operational audit en IT audit volgens hem noodzakelijk is. De Technical<br />
auditors zouden de gap in de communicatie met de business niet kunnen dichten. En de operational auditors zijn<br />
weer echte generalisten die nooit een dergelijke diepgaande kennis van systemen kunnen op doen als de System<br />
auditors.<br />
3. Wat voor een soort audits worden er intern uitgevoerd?<br />
Het uitgangspunt is het verstreken van Assurance, intern en extern. De weg er naar toe is minder belangrijk. In de<br />
bestaande situatie zijn er 2 smaken: Operational audits op de bestaande situatie (bijvoorbeeld bij een<br />
bedrijfsproces, of bij een functioneel gebied zoals Risk en Compliance) en operational audits op veranderingen.<br />
Auditen van veranderingen heeft invloed op de organisatie inrichting en vereist meer flexibiliteit. Een auditor<br />
volgt een project vanaf de opstart fase tot aan de afsluiting van het project. Group Audit beschikt over een pool<br />
van medewerkers om in te zetten op projecten.<br />
4. Door wie worden deze uitgevoerd?<br />
Het aantal benodigde auditors en hun verdeling is bepaald op basis van professional judgement en ervaring uit het<br />
verleden. Er is een budget voor 850 medewerkers wereldwijd. Bij IT audit werken wereldwijd 97 medewerkers.<br />
Het onderscheid bij IT audit tussen system en technical auditors is afhankelijk van de locaal benodigde expertise<br />
en de noodzaak. Zo zijn er voor de Business Unit Services IT zowel technical als system auditors en zijn er voor<br />
de Business Unit Nederland alleen maar system auditors.<br />
5. Hoe vindt de planning plaats?<br />
Een belangrijk verschil tussen de planning van operational en IT audits is het feit dat de (regionale en centrale)<br />
operational audit teams zelfstandig hun planning kunnen bepalen, terwijl bij IT Audit er centraal<br />
thema’s/objecten zijn bepaald die regionaal afgedekt moeten worden. De regio’s zijn vervolgens wel weer vrij<br />
om te bepalen hoe zij deze thema’s zullen afdekken. De centrale thema’s voor 2008 zijn: 1. Information Security,<br />
2. Applications, 3. Service Delivery en 4. Vendor Management.<br />
De afstemming tussen IT en operational audit, over wat respectievelijk de belangrijke applicaties en de<br />
belangrijke processen zijn, is er nog niet erg. Maar hun planningen worden wel op elkaar afgestemd. In de<br />
planningscyclus moeten ook de re-audits meegenomen worden. Dat wil zeggen dat audits die eerder een slechte<br />
uikomst lieten zien, binnen een bepaalde termijn opnieuw moeten worden uitgevoerd.<br />
6. Welke normenkaders worden er gebruikt?<br />
Iedere audit vindt plaats op basis van een op dit audit toegesneden audit programma. Bij IT audit zijn er voor<br />
operationele audits naar de infrastructuur zogenaamde Global Standard Audit Programms opgesteld. Hierbij is<br />
CobiT gebruikt als vertrekpunt en als referentie voor de toetsing van de volledigheid van het audit programma. Er<br />
wordt echter niet verwacht dat de organisatie CobiT-compliant is. Bij opertional audit wordt COSO gebruikt als<br />
leidraad om te toetsen of de audit programma’s volledig zijn. Ook hier geldt echter dat het niet wordt gehanteerd<br />
als richtinggevende normenkader. Bij veranderingsaudits wordt enerzijds gekeken naar de governance van het<br />
project en anderzijds naar de inhoud van de verandering. Voor het eerste is een vast audit programma, voor het<br />
tweede zal dit verschillen per audit.<br />
40
Andere toetsingscriteria die binnen ABN AMRO Bank worden gebruikt zijn:<br />
• De eigen ABN AMRO regels;<br />
• De sound practices die ook voor de bank kunnen gelden, zoals ITIL en de richtingbepalende criteria<br />
die komen van de Nederlandse Vereniging van Banken;<br />
• De sound practices uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA.<br />
Bij scheiding IT en operational audit:<br />
1. Wat zijn de voor en de nadelen?<br />
Binnen Group Audit is er altijd een scheiding geweest tussen IT en operational audit. Hans is er ook een groot<br />
voorstander van. Zie ook zijn antwoord bij vraag 2 bij Interne audit organisatie.<br />
2. Welke type IT/operational audits vinden er plaats? En welke andere werkzaamheden (advies, speciale<br />
onderzoeken, due diligence, sox, sas, etc)<br />
Binnen Group Audit vinden naast de eerder genoemde audits op de bestaande en op de veranderingssituatie, ook<br />
andere werkzaamheden plaats. Het gaat dan om onder andere sox testen, speciale onderzoeken en due diligence<br />
onderzoeken.<br />
3. Is er een onderscheid binnen IT en operational audit (bijv. technical vs system, en proces en projecten, etc)?<br />
Zoals eerder aangegeven is er binnen IT audit een onderscheid tussen technical en system auditors en is er in het<br />
algemeen een onderscheid tussen audits op de bestaande situatie en op projecten. Daarnaast is er sprake van<br />
ander type specialisten, zoals specialisten met betrekking tot Finance, Risk en Compliance. Deze verschillen<br />
komen ook terug in de deskundigheidseisen (diploma’s en certificeringen) en het demonstreren en onderhouden<br />
van die deskundigheid.<br />
4. Worden er General IT audits gedaan en door wie?<br />
De General IT audits worden in eerste instantie uitgevoerd door de technical auditors. Daar waar de system<br />
auditors General IT Controls meenemen in hun audits, dienen zij met de technical auditors af te stemmen en te<br />
toetsen of het nodig is dat zij dat doen en of zij het op de juiste wijze doen. De zuivere afdekking van een gebied<br />
en de eventuele overlap wordt niet bewaakt. Het is aan de competentie van de auditor om in te schatten hoe<br />
hiermee om te gaan.<br />
5. Wie controleert de logische toegangsbeveiliging?<br />
Volgens Hans wordt de opzet en het bestaan van de logische toegangsbeveiliging met name getoetst vanuit de<br />
veranderingsaudits. Deze audits worden meestal uitgevoerd door een team van auditors, bestaande uit IT en<br />
operational auditors. De werking van de logische toegangsbeveiliging wordt primair door de operational auditors<br />
getoetst.<br />
6. Vinden er gezamenlijke audits plaats? In welke gevallen?<br />
Hans geeft aan dat gezamenlijke audits een kwestie van definitie is. In principe is 30% van de tijd van de IT<br />
auditor gereserveerd voor participatie in operational audits, in verband met de wisselwerking vanuit de<br />
ervaringsuitwisseling en in verband met het behalen van een efficiency voordeel. Daarnaast vinden er<br />
gezamenlijke audits plaats zoals de landen audits, de veranderingsaudits en audits op speciale projecten<br />
(bijvoorbeeld Basel II).<br />
7. Hoe zit het met de overlap gebieden, qua afstemming? Komt dit terug in de audit programma’s?<br />
Er is geen afstemming of bewaking met betrekking tot mogelijke overlap. Het is aan de regionale<br />
verantwoordelijke en het vaktechnische inzicht van de auditor om dit te doen.<br />
Binnen IT Audit worden op centraal niveau de audit programma’s voor de IT infrastructuur bewaakt door het<br />
zogenaamde Shared Services Counsel. Zij bepalen de inhoud en het model waarin de audit programma’s moeten<br />
passen (bijv. CobiT en ITIL). De input voor deze programma’s komt in principe van de specialisten.<br />
41
Ook binnen operational audit zijn er centrale audit programma’s, maar deze worden niet zo strikt gehanteerd als<br />
die bij IT audit aangezien bij iedere operational audit het audit programma aan het object aangepast zal moeten<br />
worden. Alleen wanneer er sprake is van een specifieke centraal opgestelde audit programma dat regionaal<br />
getoetst moet worden wordt het programma aan de regio opgelegd.<br />
8. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc?<br />
Group Audit stelt specifieke opleidingseisen per audit specialisme. Binnen Nederland dienen de auditors over een<br />
R-titel (RA, RO, RE of RC) te beschikken of er voor in opleiding te zijn. In de regio’s dienen de auditors over<br />
een C-titel te beschikken, bijvoorbeeld CIA, CPA, CMA of CISA. Iemand met de een R-titel kan ook audits<br />
binnen een ander specialisme doen, mits hij daarvoor de kennis en ervaring heeft en/of de wens zich daar verder<br />
in te ontwikkelen. Een RA-er die aan deze eis voldoet zou dus ook prima als technical auditor kunnen gaan<br />
werken.<br />
Nieuwe instroom heeft geen specifieke kennis nodig, wel zijn er eisen ten aanzien van vooropleiding in verband<br />
met het kunnen halen van de R-titel en het geschikt zijn voor het vakgebied in het algemeen. Dit laatste betekent<br />
dat hij zich zowel qua audit vaktechniek als qua aandachtsgebied de nodige kennis, kunde en ervaring moet<br />
kunnen opdoen. Doorstroming is ook belangrijk. Vanuit Group Audit stromen mensen door naar alle geledingen<br />
in de organisatie. Binnen Group Audit zelf vindt ook doorstroming plaats. Zo komt het voor dat IT auditors<br />
overstappen naar operational audit. Vanuit operational audit vindt de overstap naar IT audit veel minder vaak<br />
plaats.<br />
9. Worden IT/ operational auditors ook ingezet op andere audits? En om wat voor een soort audits gaat dat<br />
dan?<br />
IT auditors draaien mee in operational audits. Vaak is het zo dat de IT Auditor naar de systemen of naar het<br />
Operating System kijkt. Het komt ook voor dat operational auditors bij een IT audit betrokken zijn, bijvoorbeeld<br />
bij een Business Continuity audit.<br />
42
2. Interview Ministerie van Justitie, Directeur van de Departementale Audit Dienst, Jan van<br />
Praat RE RA<br />
Organisatie algemeen:<br />
1. Wat voor een type organisatie is het? Wat zijn de belangrijkste bedrijfsprocessen? Welke rol speelt IT<br />
daarbij?<br />
Het Ministerie van Justitie is een overheidsinstelling. De belangrijkste bedrijfsprocessen zijn:<br />
1. Wetgeving;<br />
2. Gevangenissen;<br />
3. Rechtspraak;<br />
4. Vreemdelingenbeleid.<br />
De rol van IT is erg belangrijk, zowel vanuit de primaire bedrijfsvoering als vanuit de ondersteuning aan de<br />
processen. Ieder departement heeft zijn eigen IT organisatie.<br />
5. Hoe is de organisatie georganiseerd, gestructureerd (geografisch, organisatorisch)?<br />
Het Ministerie van Justitie is zowel centraal als decentraal georganiseerd.<br />
6. Uit hoeveel medewerkers bestaat het?<br />
In totaal bestaat het Ministerie van Justitie uit ongeveer 40.000 medewerkers. In het bestuursdepartement in Den<br />
Haag werken ongeveer 2000 medewerkers. De overige 38.000 medewerkers zitten verspreidt over het land, en<br />
werken in de gevangenissen, rechtbanken, asielzoekerscentra, etc.<br />
7. Welke IT is er in huis, is er een datacentrum, is er sprake van outsourcing, worden programma’s in-huis<br />
ontwikkeld, etc?<br />
Binnen het Ministerie van Justitie is de IT in belangrijke mate in huis georganiseerd. Alleen de IT van de<br />
salarisadministratie van het Rijk (behalve van het Ministerie van Defensie) P-Direkt, is geoutsourced. Het beheer<br />
van de systemen wordt veelal in huis gedaan, maar ondersteuning en ontwikkeling wordt beperkt binnen het<br />
ministerie uitgevoerd. Binnen het Ministerie van Justitie worden veel programma’s ingekocht. Het gaat vaak om<br />
grote projecten die door derden worden gedaan.<br />
Justitie heeft een viertal rekencentra: ICTRO (van de Politie en het Ministerie van Binnenlandse Zaken), ICTS<br />
(voor de Rechtspraak), GBO (voor de financiële systemen van de Gemeenten) en DBO ICT (voor de<br />
bestuursdepartementen). In beperkte mate is er ook decentraal een eigen IT organisatie.<br />
Interne audit organisatie:<br />
1. Hoe is de interne audit organisatie ingericht, met of zonder onderscheid tussen IT en Operational auditing<br />
functies?<br />
De Departementale Audit Dienst is binnen het Ministerie van Justitie als volgt opgebouwd: als hoofd is er een<br />
directeur en daarnaast werken er ongeveer 40 medewerkers. De audit dienst is ingedeeld in een drietal clusters<br />
plus de ondersteunende functies. De clusters zijn klantgericht. De clusters zijn gericht op de 4 stromingen:<br />
Politie, Rechtspraak, Gemeenten en Financiële gegevens.<br />
Op dit moment vindt er een reorganisatie plaats binnen de Departementale Audit Dienst. Het zal veranderen naar<br />
een netwerk organisatie. De organisatie gaat er dan als volgt uit zien: er zullen 2 directeuren zijn, met daaronder<br />
38 medewerkers. De medewerkers worden naar niveau ingedeeld: junior (ca 10 personen), medior (ca 12<br />
personen) en senior (6 à7 personen). De seniors zullen als account manager gaan acteren en de communicatie met<br />
de klanten over planning, uitkomsten van de audits, etc. op zich nemen. In de nieuwe organisatie krijgen de<br />
audits een projectmatig karakter. Voor ieder project wordt een project leider aangesteld, dit niet per se een senior<br />
auditor hoeft te zijn. Afhankelijk van de grootte en complexiteit van de audit vraag wordt er een team<br />
samengesteld. Daarnaast zal bij de samenstelling van een team ook de beschikbaarheid, kennis etc. een rol<br />
43
spelen. Er worden momenteel nieuwe functieprofielen ontwikkeld. Op dit moment zijn de functieprofielen<br />
gekoppeld aan competenties, in de toekomst zullen er meer eisen worden gesteld met betrekking tot opleiding en<br />
ervaring.<br />
De auditors binnen Departementale Audit Dienst zijn geen specialisten maar generalisten, wel heeft iedereen een<br />
R-titel (RA, RO, RE etc). De organisatie kent geen onderscheid tussen de RA, RO en RE functie. De RE-ers<br />
zullen misschien meer op IT aspecten worden ingezet, maar RO-ers zullen dit evengoed moeten doen. Zowel<br />
organisatorisch als functie inhoudelijk is er dus geen onderscheid tussen type auditors.<br />
2. Waarom is er voor deze inrichting gekozen?<br />
Volgens Jan is de belangrijkste reden voor de inrichtingskeuze van de Departementale Audit Dienst, de carrière<br />
mogelijkheden van de medewerkers. Er wordt gestreefd naar een doorgroei van een auditor in 7 tot 8 jaar naar<br />
een management functie. De Departementale Audit Dienst zou een middel moeten zijn om een (management)<br />
functie binnen de organisatie te krijgen. Het voordeel van het vak auditing is dat de auditors veel van de<br />
organisatie zien en dus een brede ervaring opdoen.<br />
3. Wat voor een soort audits worden er intern uitgevoerd?<br />
Binnen de Departementale Audit Dienst worden er veel soorten audits uitgevoerd: thema audits, project audits en<br />
de jaarrekening controle. Op verzoek voeren zij ook speciale onderzoeken uit. De rapporten krijgen geen overall<br />
rating en findings ook geen specifieke rating. De conclusies en aanbevelingen worden wel gemonitoord.<br />
4. Door wie worden deze uitgevoerd?<br />
Audits kunnen door iedereen worden uitgevoerd. De planning van de inzet van de medewerkers vindt plaats op<br />
basis van beschikbaarheid, niet op basis van kennis en kunde. Op het moment echter dat er specifieke IT audit<br />
kennis nodig is, dan is het mogelijk om deze in te huren vanuit de EDP audit pool. De Departementale Audit<br />
Dienst heeft 3.5 FTE ingeleverd aan de EDP audit pool en heeft afspraken gemaakt over eventuele inhuur.<br />
Daarnaast is er (beperkt) budget beschikbaar voor het inhuren van externen. De externe inhuur doet eigenlijk<br />
vooral de accountants controle.<br />
5. Hoe vindt de planning plaats?<br />
De departementen voeren risicoanalyses uit en van daar uit worden de belangrijkste thema’s gedestilleerd. Per<br />
thema worden de audits gedefinieerd, die uiteindelijk per kwartaal worden gepland. Daarnaast vindt er vanuit de<br />
jaarrekening controle een cyclische planning plaats en worden er vrij veel project audits uitgevoerd.Tot en met<br />
vorig jaar werd er een jaarplanning opgesteld. Dit jaar is men bewust overgestapt naar een kwartaalplanning,<br />
omdat er teveel wijzigingen plaatsvonden in de jaarplanning. Ieder trimester zullen de account managers spreken<br />
met de directeuren en op basis daarvan eventueel accenten leggen voor de planning. De planning wordt tevens<br />
iedere 2 weken in het MT besproken, samen met de urenverantwoording.<br />
6. Welke normenkaders worden er gebruikt?<br />
Bij de Departementale Audit Dienst worden als normenkader ITIL, CobiT en COSO gehanteerd. Daarnaast is er<br />
het Voorschrift Informatiebeveiliging Rijksdienst (VIR), dit is het interne normenkader gebaseerd op de Code<br />
Informatiebeveiliging. Binnen het VIR is de Afhankelijkheids & Kwetsbaarheids (A&K) analyse erg belangrijk.<br />
Bij geen scheiding IT en operational audit:<br />
1. Wat zijn de voor en de nadelen?<br />
Voordelen:<br />
• Geïntegreerd auditen, hierdoor is het mogelijk om alle bedrijfsprocessen aan de orde te laten komen. De<br />
auditors krijgen op deze manier kennis van de gehele organisatie;<br />
• Geen competentiestrijd omdat er geen koppeling naar deskundigheid is. Dit kan ook als een nadeel<br />
werken;<br />
• Zonder scheiding is het mogelijk om de audit functie klantgericht in te delen in plaats van op een<br />
product.<br />
44
Nadelen:<br />
• Geen inzicht of de juiste kennis op de juiste plaats wordt ingezet. Op deze manier is er geen sprake van<br />
optimalisatie van de kennis;<br />
• Er is geen onderhoud van kennis. Door EDP auditors vaak in te zetten bij geïntegreerde audits is het<br />
moeilijk om kennis uit te wisselen. Als EDP auditors in een team van EDP auditors werken is kennis<br />
onderhoud en overdracht eenvoudiger.<br />
2. Welke type audits vinden er plaats? En welke andere werkzaamheden (advies, speciale onderzoeken, due<br />
diligence, sox, sas, etc)?<br />
Binnen het Ministerie van Justitie worden veel adviesopdrachten uitgevoerd, met daarnaast veel speciale<br />
onderzoeken naar bijvoorbeeld ketens en integriteit. Binnen het Ministerie van Justitie vinden geen due diligence<br />
en Soxa audits plaats.<br />
3. Wie voert welke type audit uit?<br />
In de praktijk komt het er op neer dat de operationele audits door zowel operational als IT auditors worden<br />
uitgevoerd. Audits met veel IT componenten worden toch door EDP auditors uitgevoerd, bijvoorbeeld een audit<br />
naar de fysieke beveiliging van het datacentrum.<br />
4. Is er specifieke kennis van IT nodig?<br />
Specifieke IT kennis is binnen de Departementale Audit Dienst van het Ministerie van Justitie niet echt nodig. De<br />
datacenters zijn voornamelijk gericht op midrange systemen, er zijn geen mainframes bijvoorbeeld. Hierdoor is<br />
geen specialisatie van IT auditors noodzakelijk.<br />
5. Wie voert de echte technische audits uit, bijv. firewall settings/netwerk/etc?<br />
IT audits waarbij specialisme noodzakelijk is worden voornamelijk uitgevoerd door EDP auditors uit de EDP<br />
pool. In het geval dat er geen resource beschikbaar is met het gewenste specialisme is het mogelijk om extern in<br />
te huren. De EDP pool is opgebouwd uit specialisten, de Departementale Audit Dienst van het Ministerie van<br />
Justitie is opgebouwd uit generalisten.<br />
6. Worden er General IT audits gedaan en door wie?<br />
Er worden door de Departementale Audit Dienst General IT audits uitgevoerd. De EDP auditors voeren deze<br />
audits uit. Het komt zelden voor dat een operational auditor een General IT audit uitvoert.<br />
7. Wie controleert de logische toegangsbeveiliging?<br />
Evenals bij General IT controls, worden de EDP auditors ingezet op audits naar de logische toegangsbeveiliging.<br />
8. Hoe zijn de audit programma’s opgesteld en hoe komen daar de verschillende disciplines in terug<br />
(geintegeerd of specifiek)?<br />
Bij de Departementale Audit Dienst worden geen standaard audit programma’s ontwikkeld en gebruikt. Bij<br />
aanvang van een audit wordt een Plan van Aanpak opgesteld. In het Plan van Aanpak worden de objecten welke<br />
geaudit dienen te worden meegenomen. Ook bij de jaarrekening controle wordt er geen gebruik gemaakt van een<br />
standaard audit programma. Volgens Jan is standaardisatie complexer door de vele speciale onderzoeken welke<br />
uitgevoerd worden. Wel is Jan van mening dat er standaard audit programma’s opgesteld en gebruikt zouden<br />
moeten worden.<br />
9. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc?<br />
Bij de audit dienst wordt gesteld dat de vooropleiding op academisch niveau is, met een enigszins relevante<br />
richting zoals Informatica, Bedrijfskunde etc. Vervolgens is het verplicht om een post doctorale audit opleiding te<br />
volgen.<br />
45