804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

Volgend op de eerder beschreven soorten IT audits en de verschillende soorten objecten binnen IT audit, betekent dit dat de IT auditor ook voldoende deskundig moet zijn op deze objecten. En omdat deze objecten inhoudelijk sterk uiteenlopen is het te verwachten dat niet alle auditors even deskundig zijn op al deze punten en er specialismen binnen IT auditing ontstaan. Zeker ook omdat de IT zeer dynamisch en continu aan veranderingen onderhevig is, zal enige vorm van specialisme voor een IT auditor onontbeerlijk zijn wil hij in staat zijn om zich voortdurend op de hoogte te houden van de ontwikkelingen binnen zijn vakgebied. Volgens Van Praat en Suerink dient de IT auditor naast het zorgen voor relevante deskundigheid ook rekening houden met de grenzen van zijn deskundigheid. Ondanks dit specialisme, kan echter gesteld worden dat iedere IT Auditor in ieder geval voldoende kennis moet hebben van de volgende zaken: algemene organisatie principes, de omgeving waarin de infrastructuur en de systemen zich bevinden, de System Life Cycles, de verschillende ontwikkel methodieken, informatiebeveiliging en van auditing in het algemeen (Van Biene-Hershey, 1996). Geheimhouding De Code of Ethics stelt dat de IT Auditor een geheimhoudingsplicht heeft zowel in zijn sociale omgang, de audit organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een cliënt of organisatie. Professioneel gedrag De Code of Ethics stelt dat de IT Auditor zich dient te houden aan de relevante wet en regelgeving en zich onthoudt van handelingen welke het audit beroep in diskrediet kan brengen. 3.5 Tot slot In dit hoofdstuk hebben we specifiek vanuit oogpunt van IT auditing aandacht besteed aan de soorten IT audits, de aspecten die een rol spelen bij de daadwerkelijke uitvoering van IT audits, namelijk de objecten, de kwaliteitsaspecten, de normen en de IT auditor. Samenvattend kunnen we zeggen dat de soorten IT audits direct samen hangen met de objecten van onderzoek. Deze objecten vallen over het algemeen onder één van de volgende categorieën: organisatie van informatievoorziening, informatiesystemen en systeemontwikkeling, technische infrastructuur of informatiebeveiliging. Voor alle soorten objecten kan de opzet, de bestaan en de werking worden vastgesteld. Belangrijke aspecten waarover bij IT audits een uitspraak wordt gedaan zijn effectiviteit, efficiency, betrouwbaarheid en continuïteit. Veel gebruikte, algemene normen waaraan de IT objecten worden getoetst zijn raamwerken die zich richten op één of meerdere aan de IT gelieerde onderwerpen, zoals ITIL dat zich richt op de IT dienstverlening en beheer en CMM dat betrekking heeft op systeemontwikkeling. Voor de uitvoering van IT audits moet de interne IT auditor niet alleen aan eisen voldoen als integriteit en objectiviteit, maar ook aan de eis met betrekking tot deskundigheid. Juist het kunnen voldoen aan deze eis, zou mogelijk als onderscheidend kenmerk van de IT auditor beschouwd kunnen worden. Het gaat hier immers niet alleen om deskundigheid op het gebied van auditing in het algemeen, maar ook om deskundigheid met betrekking tot de objecten die hij onderzoekt, namelijk de IT in al zijn facetten. Volgens Mollema en Van der Pijl (2005) heeft IT auditing zich in zijn circa 30 jarig bestaan weliswaar weten te vestigen als een levensvatbaar beroep met een eigen beroepsorganisatie, maar heeft het als vak nog onvoldoende relevantie verkregen. Door meer vanuit de organisatiestrategie te auditen en zich sterker op veranderingen te oriënteren, zou het volgens hen deze hogere relevantie wel kunnen verkrijgen. De vraag die deze andere rol echter oproept, is of de IT auditor hier dan wel de meest geschikte persoon voor is of dat het eerder iets is voor de operational auditor. Waarbij de IT auditor dan de specifieke IT strategie- en IT veranderingsaspecten voor zijn rekening zal nemen. Om hier een uitspraak over te kunnen doen, zullen we in het volgende hoofdstuk dieper ingaan op aspecten die een rol spelen bij de uitvoering operational audits, namelijk objecten, aspecten, normen en de aan de auditor gestelde eisen. 15
4 Operational auditing 4.1 Inleiding Hoewel het vakgebied van operational auditing in vergelijking met IT auditing nog relatief kort bestaat, lijkt men behoorlijk eensgezind over de inhoud ervan. De definities van operational auditing vertonen namelijk, in tegenstelling tot die voor IT auditing, behoorlijk veel overeenkomsten. De Vereniging van Register Operational auditors (VRO) geeft op hun website de volgende definitie van operational auditing (2007): “Operational auditing is een onderzoek gericht op de kwaliteit van de beheersing van bedrijfsprocessen door het verantwoordelijk management. Onder kwaliteit is in dit verband te verstaan de effectiviteit en efficiency van getroffen maatregelen die moeten waarborgen dat de activiteiten plaatsvinden in overeenstemming met de uitgangspunten van de organisatie, de "tight controls" en de algemene eisen die aan beheersing te stellen zijn”. Driessen en Molenkamp (2004) verstaan onder een operational audit: “het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex aan beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingskaders die door het bovenliggende managementniveau zijn geformuleerd”. Kocks (2003) gebruikt de volgende door Paape voorgestelde definitie van operational audit: “een objectief onderzoek naar het functioneren van het management control system van een organisatie, gericht op de realisatie van de strategie van de organisatie, met als oogmerk het geven van additionele zekerheid en waar nodig het geven van adviezen ter verbetering”. De Cock en Molenkamp (2004) geven geen definitie van operational auditing, maar zeggen de operational auditor te beschouwen als degene die het management aanvullende zekerheid verschaft over de kwaliteit van beheersing van realisatie van de doelstellingen. Hiermee levert de operational auditor een bijdrage aan de continuïteit van de organisatie. In lijn hiermee zeggen Hartog en De Korte (2003) dat operational auditors een oordeel geven over de kwaliteit van de beheersing van de organisatie en daartoe de kwaliteit van de beheersing van de meest kritische processen onderzoeken. Beheersing wordt volgens hen daarbij vaak geïnterpreteerd als het geheel van maatregelen dat moet waarborgen dat de doelstellingen zullen worden bereikt. Het verkrijgen van additionele zekerheid over het bereiken van de doelstellingen vormt het uiteindelijke doel van de operationele audit. Vergelijking van de hierboven genoemde definities en omschrijvingen, maakt het volgende duidelijk: 1. Object van onderzoek is volgens alle definities de bedrijfsvoering door het management. De VRO spreekt over ‘de beheersing van bedrijfsprocessen’, Driessen en Molenkamp van ‘het gehele complex aan beheersingsmaatregelen’ en Kocks van ‘het Management Control System gericht op de realisatie van de strategie van de organisatie’; 2. Als doel van een operational audit spreekt Kocks over het geven van additionele zekerheid en het waar nodig geven van adviezen te verbetering. Zowel Hartog en De Korte als De Cock en Molenkamp noemen daarentegen alleen het verkrijgen van additionele zekerheid als doel. De definities van de VRO en van Driessen en Molenkamp benoemen tenslotte helemaal geen doel van een operational audit. Bij het spreken over operational auditing zullen wij in het vervolg van deze <strong>scriptie</strong> uitgaan van de definitie die Driessen en Molenkamp hiervoor geven. Dit doen wij, in aansluiting op onze keuze voor de te hanteren definitie van IT auditing, vanwege de wijze waarop in deze definitie het object van onderzoek wordt omschreven. 16
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15: specifieke Reglementen, Richtlijnen
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25 and 26: Onderstaand figuur geeft een weerga
Page 27 and 28: 5.6 De auditor De beroepsorganisati
Page 29 and 30: estuur van zijn organisatie en van
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?