804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
IT auditing Operational auditing<br />
Proces- Strategie van de organisatie Strategie van de organisatie<br />
audit<br />
Inrichting van de bedrijfsprocessen:<br />
- Processen binnen systeem ontwikkeling,<br />
- Processen m.b.t. beheer technische infrastructuur<br />
Inrichting van de bedrijfsprocessen<br />
Wet- en regelgeving Wet- en regelgeving<br />
Beheersing van de IT organisatie:<br />
- Organisatie en structuur van systeem ontwikkeling;<br />
- Organisatie en beheer van technische infrastructuur<br />
- Organisatie m.b.t. toegangsbeveiliging<br />
Beheersing van de organisatie of een afdeling<br />
Product- audit Projectrealisatie Projectrealisatie<br />
Realisatie organisatiedoelstellingen<br />
Producten:<br />
Producten:<br />
- Computerprogramma’s;<br />
- Besturingssystemen;<br />
- Databases;<br />
- Datacommunicatie systemen<br />
- Organisatiespecifieke producten<br />
Uitvoering van specifieke processen:<br />
Uitvoering van specifieke processen:<br />
- Externe en logische toegangsbeveiliging;<br />
- Organisatiespecifieke processen;<br />
- Fysieke beveiliging<br />
- Logische toegangsbeveiliging;<br />
- Fysieke beveiliging<br />
Forensische audit Forensische audit<br />
Figuur 4: De objecten van onderzoek bij IT en operational auditing<br />
Als wij verder kijken naar de meer concrete uitwerking van de objecten in dit overzicht, dan lijken zij op het<br />
eerste oog bij de twee vakgebieden meer verschil te vertonen. De reden hiervan is dat een aantal objecten niet op<br />
dezelfde manier worden uitgewerkt of geconcretiseerd: Bij IT auditing worden de objecten inrichting van de<br />
bedrijfsprocessen en beheersing van de organisatie of een afdeling bijvoorbeeld wel geconcretiseerd, maar bij<br />
operational auditing niet. Bovendien worden bij beide vakgebieden de objecten producten en uitvoering van<br />
specifieke processen anders uitgewerkt. Ook deze verschillen in specificaties die wij in de onderzochte literatuur<br />
hebben aangetroffen, zullen in de praktijk niet werkelijk zo strikt van toepassing zijn.<br />
Dat wil zeggen dat de verdere uitwerkingen van de objecten inrichting van de bedrijfsprocessen en beheersing<br />
van de organisatie of een afdeling zoals die zijn genoemd bij IT auditing evengoed van toepassing kunnen zijn<br />
voor operational auditing en er anderzijds uitwerkingen zijn te noemen voor operational auditing die op hun beurt<br />
ook van kracht kunnen zijn voor IT auditing.<br />
De reden hiervan is dat bij een (operational) audit naar de inrichting van de bedrijfsprocessen of de beheersing<br />
van de organisatie IT een zeer wezenlijk onderdeel van de audit zal uitmaken. Bij het uitvoeren van een<br />
operational audit naar bijvoorbeeld de bedrijfsprocessen, kunnen de ondersteunende systemen namelijk niet<br />
buiten beschouwing worden gelaten en bij een audit naar de totstandkoming van een organisatiespecifiek product<br />
zal ook gekeken moeten worden hoe het productie proces wordt beïnvloed door de systemen. Aangezien IT van<br />
nature onderdeel is van een groter geheel, namelijk van de organisatie die zij ondersteunt, zal bij een IT audit<br />
nooit alleen naar de IT specifieke objecten worden gekeken, maar zullen ook aanverwante aspecten onderdeel<br />
van de audit uitmaken. Zoals de bedrijfsprocessen die de systemen ondersteunen, de gebruikersorganisatie<br />
waarop de beveiligingsinstellingen betrekkingen hebben en de strategie van de organisatie als geheel welke<br />
bepaalt hoe men IT wil inzetten.<br />
Op basis van bovenstaande kunnen we derhalve concluderen dat de onderzoeksobjecten bij IT en operational<br />
auditing sterk overeenkomen, ondanks dat ze vanuit een verschillende optiek starten. Namelijk IT auditing vanuit<br />
de informatiesystemen en de organisatie omtrent de informatiesystemen, en operational auditing vanuit de<br />
organisatie en de bedrijfsvoering in het algemeen.<br />
5.3 Aspecten<br />
Auditing is het vanuit een bepaalde invalshoek toetsen van de werkelijkheid aan vooraf opgestelde objectieve<br />
normen. Deze invalshoek bestaat uit de aspecten die binnen een audit worden gehanteerd. Zoals we al hadden<br />
gezien, geldt dit voor alle soorten van auditing, dus ook voor IT en operational auditing.<br />
23