804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

De algemene normen die gehanteerd worden door de IT auditor en de operational auditor zijn daadwerkelijk verschillend. De normen die bij IT auditing worden gehanteerd zijn vooral gericht op de IT. Zo vindt bijvoorbeeld CobiT zijn oorsprong vanuit het oogpunt van het beheren van de informatietechnologie en is ITIL een beheermethodiek die gebruikt wordt in IT organisaties. Normenkaders gebaseerd op CobiT en ITIL zijn vooral geschikt voor proces audits, zoals de General IT Controls audits. De algemene normen die gehanteerd worden bij operational auditing zijn gericht op de beheersing van de bedrijfsvoering en de bedrijfsprocessen in het algemeen. Het COSO-raamwerk is bijvoorbeeld met name van toepassing voor de organisatiebeheersing, terwijl het KAD-model zich richt op procesbeheersing. Naast Proces audits vinden er binnen IT audit ook specialistische IT audits plaats, bijvoorbeeld naar de operating systems. Deze audits zijn product gericht, waarbij geen algemene normen gehanteerd kunnen worden, behalve ten aanzien van de informatiebeveiliging. Evenals bij IT auditing, zal ook bij een product gerichte operational audit geen gebruik gemaakt kunnen worden van algemene normen maar zullen de normen op het betreffende product moeten worden afgestemd. Hoewel vanuit de literatuur de normenkaders van IT auditing en operational auditing verschillen, betekent het natuurlijk niet dat de IT en operational auditor niet ‘elkaars’ normen kunnen gebruiken. Alles hangt af van welk object zij willen beoordelen. Indien een operational auditor een IT-matig proces wil beoordelen, zal ook voor hem een (algemene) IT norm het meest geschikt zijn. En wanneer een IT auditor naar algemene organisatie aspecten wil kijken zou bijvoorbeeld COSO geschikt kunnen zijn. Het normenkader gebaseerd op Prince2 kan ook door zowel een IT als een operational auditor worden gebruikt. Zoals reeds aangegeven is Prince2 een project methodiek en deze wordt niet specifiek binnen de IT gebruikt. Een dergelijk normenkader is derhalve geschikt voor het auditen van ieder project, met of zonder IT componenten. 5.5 Audit fases Zoals beschreven in Hoofdstuk 2 kent ieder type audit een aantal fases, ongeacht of het een IT of een operational audit betreft. De in dat hoofdstuk beschreven fases zijn gebaseerd op het zes stappenmodel van Driessen en Molenkamp (2004) en zijn van toepassing voor zowel IT als operational auditing. De zes stappen, of fases, zien er daarbij als volgt uit: 1. De planningfase: Hierin wordt de jaarplanning gemaakt, met daarin de objecten van onderzoek, de auditees, de audit doelstellingen, wanneer de audits moeten worden uitgevoerd en de benodigde audit capaciteit; 2. De vooronderzoekfase: Het ten behoeve van een specifieke audit verzamelen van informatie over bijvoorbeeld het beleid van de organisatie, de aan het onderzoeksobject gestelde eisen en de kaderstellingen zoals de regelgeving. Tijdens deze fase wordt ook de audit aangekondigd bij de proceseigenaar; 3. De veldwerkfase: Het verzamelen van gegevens welke nodig zijn om de bevindingen te formuleren, conclusies te trekken en aanbevelingen ter verbetering te kunnen doen; 4. De rapportagefase: Het opstellen van het rapport met daarin de bevindingen, conclusies, aanbevelingen en een actieplan voor het management. In deze fase wordt tevens in overleg met de auditees, de proceseigenaar en de opdrachtgever vastgesteld of de bevindingen van de auditors correct en volledig zijn; 5. De evaluatiefase: De evaluatie vanuit de audit afdeling zelf, ten aanzien van de uitgevoerde audit en de feitelijke inhoud van de audit; 6. De follow-up: Het controleren of het actieplan daadwerkelijk is uitgevoerd door het verantwoordelijk management. 25
5.6 De auditor De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de auditors opereren. In Hoofdstuk 3 hebben we reeds aangegeven dat de NOREA de beroepsorganisatie is voor IT auditors. De NOREA waakt over de deskundigheid van haar leden en bindt hen tevens aan regels voor de beroepsuitoefening. In Hoofdstuk 4 hebben we beschreven dat voor de operational auditors de Vereniging van Register Operational auditors (VRO) de meest direct aangewezen beroepsorganisatie is. Hoewel ook de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL) zich sterk richt op operational auditors. Dit komt tot uiting in de integratieovereenkomst die in maart 2007 is afgesloten tussen de VRO en de IIA NL. In de Gedrags- en Beroepsregels Register Operational auditors (GBRO) geeft de Vereniging van Register Operational auditors de regels aan die gelden voor haar leden. De IIA NL heeft zowel haar regels verwoord in haar Gedrags- en Beroepsregels Internal Auditors (GBRIA) als in de Code of Ethics. Onderstaand figuur geeft een overzicht van de eisen die vanuit deze beroepsorganisaties aan de IT en operational auditors worden gesteld: IT auditing Operational auditing Integriteit Integriteit Objectiviteit Objectiviteit Deskundigheid Deskundigheid Zorgvuldigheid Zorgvuldigheid Geheimhouding Vertrouwelijkheid Professioneel gedrag Ethiek Figuur 7: De eisen aan de IT en operational auditors vanuit de beroepsverenigingen Integriteit Zowel de Code of Ethics van de IIA NL en de NOREA als de GBRO en de GBRIA spreken over Integriteit. De Code of Ethics van de NOREA geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in beroepsmatige en zakelijke betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet volledig is of op meerdere manieren op te vatten is. In de GBRO en de GBRIA wordt de regel met betrekking tot integriteit enkel uitgewerkt in de eis dat de auditor geen functies mag aannemen en geen activiteiten mag uitvoeren die zijn functioneren als auditor zouden kunnen schaden. De Code of Ethics van de VRO werkt deze regel uitgebreider uit, en eist dat de auditor zijn werk eerlijk, toegewijd en verantwoord moet uitvoeren, dat hij de wet moet naleven, dat hij niet zal deelnemen aan illegale activiteiten of activiteiten die schadelijk kunnen zijn voor het beroep van Internal auditing of de organisatie én dat hij de wettelijke en ethische doelstellingen van de organisatie moet naleven en bevorderen. De richtlijnen van de NOREA, van de VRO en van de IIA NL komen dus sterk overeen in hun eisen ten aanzien van integriteit: allen geven aan dat de auditors eerlijk, toegewijd en verantwoord moeten optreden in beroepsmatige en zakelijke betrekkingen. De Code of Ethics van de VRO gaat alleen een stap verder door te stellen dat de auditor de wet moet naleven, niet mag deelnemen aan illegale activiteiten of activiteiten die schadelijk kunnen zijn voor het beroep van auditor. Objectiviteit De Code of Ethics van de NOREA stelt dat de IT auditor het niet mag accepteren dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt. De Code of Ethics van de IIA NL geeft aan dat de internal auditor geen werkzaamheden mag uitvoeren die ertoe kunnen leiden dat zijn onbevooroordeelde mening geschaad zou kunnen worden, dat hij niets mag aannemen wat zijn professionele beoordeling zou kunnen schaden, en dat hij alle gegevens beschikbaar moet stellen die, als hij dat niet zou doen, de verslaggeving van de uitgevoerde werkzaamheden zou kunnen vertekenen. De GBRO en de GBRIA geven geen richtlijnen ten aanzien van objectiviteit. De Code of Ethics van de NOREA en de IIA NL geven dus beiden richtlijnen ten aanzien van objectiviteit door in te gaan op vooroordelen, belangentegenstelling en de professionele oordeelsvorming. 26
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15 and 16: specifieke Reglementen, Richtlijnen
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25: Onderstaand figuur geeft een weerga
Page 29 and 30: estuur van zijn organisatie en van
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?