804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

IT auditing Operational auditing Proces- Strategie van de organisatie Strategie van de organisatie audit Inrichting van de bedrijfsprocessen: - Processen binnen systeem ontwikkeling, - Processen m.b.t. beheer technische infrastructuur Inrichting van de bedrijfsprocessen Wet- en regelgeving Wet- en regelgeving Beheersing van de IT organisatie: - Organisatie en structuur van systeem ontwikkeling; - Organisatie en beheer van technische infrastructuur - Organisatie m.b.t. toegangsbeveiliging Beheersing van de organisatie of een afdeling Product- audit Projectrealisatie Projectrealisatie Realisatie organisatiedoelstellingen Producten: Producten: - Computerprogramma’s; - Besturingssystemen; - Databases; - Datacommunicatie systemen - Organisatiespecifieke producten Uitvoering van specifieke processen: Uitvoering van specifieke processen: - Externe en logische toegangsbeveiliging; - Organisatiespecifieke processen; - Fysieke beveiliging - Logische toegangsbeveiliging; - Fysieke beveiliging Forensische audit Forensische audit Figuur 4: De objecten van onderzoek bij IT en operational auditing Als wij verder kijken naar de meer concrete uitwerking van de objecten in dit overzicht, dan lijken zij op het eerste oog bij de twee vakgebieden meer verschil te vertonen. De reden hiervan is dat een aantal objecten niet op dezelfde manier worden uitgewerkt of geconcretiseerd: Bij IT auditing worden de objecten inrichting van de bedrijfsprocessen en beheersing van de organisatie of een afdeling bijvoorbeeld wel geconcretiseerd, maar bij operational auditing niet. Bovendien worden bij beide vakgebieden de objecten producten en uitvoering van specifieke processen anders uitgewerkt. Ook deze verschillen in specificaties die wij in de onderzochte literatuur hebben aangetroffen, zullen in de praktijk niet werkelijk zo strikt van toepassing zijn. Dat wil zeggen dat de verdere uitwerkingen van de objecten inrichting van de bedrijfsprocessen en beheersing van de organisatie of een afdeling zoals die zijn genoemd bij IT auditing evengoed van toepassing kunnen zijn voor operational auditing en er anderzijds uitwerkingen zijn te noemen voor operational auditing die op hun beurt ook van kracht kunnen zijn voor IT auditing. De reden hiervan is dat bij een (operational) audit naar de inrichting van de bedrijfsprocessen of de beheersing van de organisatie IT een zeer wezenlijk onderdeel van de audit zal uitmaken. Bij het uitvoeren van een operational audit naar bijvoorbeeld de bedrijfsprocessen, kunnen de ondersteunende systemen namelijk niet buiten beschouwing worden gelaten en bij een audit naar de totstandkoming van een organisatiespecifiek product zal ook gekeken moeten worden hoe het productie proces wordt beïnvloed door de systemen. Aangezien IT van nature onderdeel is van een groter geheel, namelijk van de organisatie die zij ondersteunt, zal bij een IT audit nooit alleen naar de IT specifieke objecten worden gekeken, maar zullen ook aanverwante aspecten onderdeel van de audit uitmaken. Zoals de bedrijfsprocessen die de systemen ondersteunen, de gebruikersorganisatie waarop de beveiligingsinstellingen betrekkingen hebben en de strategie van de organisatie als geheel welke bepaalt hoe men IT wil inzetten. Op basis van bovenstaande kunnen we derhalve concluderen dat de onderzoeksobjecten bij IT en operational auditing sterk overeenkomen, ondanks dat ze vanuit een verschillende optiek starten. Namelijk IT auditing vanuit de informatiesystemen en de organisatie omtrent de informatiesystemen, en operational auditing vanuit de organisatie en de bedrijfsvoering in het algemeen. 5.3 Aspecten Auditing is het vanuit een bepaalde invalshoek toetsen van de werkelijkheid aan vooraf opgestelde objectieve normen. Deze invalshoek bestaat uit de aspecten die binnen een audit worden gehanteerd. Zoals we al hadden gezien, geldt dit voor alle soorten van auditing, dus ook voor IT en operational auditing. 23
Onderstaand figuur geeft een weergave van de aspecten die volgens de door ons geraadpleegde literatuur een rol spelen bij IT en operational auditing: IT auditing Operational auditing Effectiviteit (onderhoudbaarheid, herbruikbaarheid en Effectiviteit van de beheersingsmaatregelen geschiktheid) van de infrastructuur Efficiency (gebruikersvriendelijkheid en flexibiliteit) van de Efficiency van de beheersingsmaatregelen systemen Continuïteit (herstelbaarheid en uitwijkmogelijkheid) van de Continuïteit van de processen gegevensverwerking Flexibiliteit van de processen Betrouwbaarheid (juistheid, tijdigheid en volledigheid) van de Betrouwbaarheid (juistheid, tijdigheid en volledigheid) van de informatie informatie Toegankelijkheid van de informatie Doorlooptijd van het productieproces Veiligheid van medewerkers en eigendommen Figuur 5: De aspecten bij IT en Operational auditing Uit dit overzicht blijkt dat de aspecten effectiviteit, efficiency, continuïteit en betrouwbaarheid zowel bij IT als bij operational auditing worden genoemd en dat bij operational auditing een aantal aanvullende aspecten zijn opgenomen, namelijk flexibiliteit, toegankelijkheid, doorlooptijd en veiligheid. Deze overlap of het niet genoemd zijn van bepaalde aspecten kan echter niet direct als een verschil of overeenkomst worden beschouwd. Hoewel niet genoemd bij IT auditing, zullen namelijk de aspecten flexibiliteit, toegankelijkheid en veiligheid ook bij IT auditing van toepassing zijn wanneer naar de objecten processen, informatie en medewerkers wordt gekeken. Evengoed als bij operational auditing. Eigenlijk is het zelfs niet mogelijk beide vakgebieden te vergelijken wat betreft aspecten zonder het onderzoeksobject bij deze vergelijking te betrekken. Aangezien een aspect zijn daadwerkelijke betekenis ontleent aan het object waarop het van toepassing is. Met betrekking tot het object IT infrastructuur zal het aspect effectiviteit namelijk niet dezelfde betekenis hebben als met betrekking tot het object beheersingsmaatregelen: Daar waar een effectieve infrastructuur gekenmerkt wordt door een sterke mate van onderhoudbaarheid, herbruikbaarheid en geschiktheid, zal een effectieve beheersingsmaatregel met name gekenmerkt worden door geschiktheid. Dit is ook precies de reden waarom Van Praat en Suerink kwaliteitsaspecten verder uitwerken in kwaliteitsattributen. Hoewel het dus op basis van het overzicht lijkt alsof de aspecten bij IT en operational auditing verschillen vertonen, is het maken van een dergelijke vergelijking alleen mogelijk als een aspect in directe relatie met het te onderzoeken object wordt gezien. Dit betekent dat het maken van een vergelijking tussen de twee vakgebieden eigenlijk niet gerechtvaardigd is, tenzij deze vergelijking gekoppeld wordt aan een specifiek object. Maar wanneer een bepaald aspect in relatie tot hetzelfde object bij een IT en bij een operational audit wordt gebruikt, blijkt er wat betreft het aspect geen sprake te zijn van een verschil tussen IT en operational auditing. 5.4 Normen Zoals we reeds hebben aangegeven zijn normen noodzakelijk om een audit te kunnen uitvoeren. Normen zijn nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Normen kunnen worden ontleend aan zowel interne als externe bronnen. Het audit object wordt dan ook beoordeeld op basis van normen. In onderstaand figuur hebben we de algemeen geldende normen voor IT auditing en operational auditing weergegeven zoals we die eerder hebben behandeld: IT auditing Operational auditing CobiT COSO-raamwerk ITIL KAD-model Code voor Informatiebeveiliging EFQM-/INK-model CMM Business Balanced Scorecard Prince2 Figuur 6: De normen bij IT en operational auditing 24
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15 and 16: specifieke Reglementen, Richtlijnen
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23: 5 Het verschil en de overeenkomsten
Page 27 and 28: 5.6 De auditor De beroepsorganisati
Page 29 and 30: estuur van zijn organisatie en van
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?