804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

Deskundigheid De Code of Ethics van de NOREA stelt dat de IT auditor zijn deskundigheid en vaardigheid op een niveau moeten houden dat noodzakelijk is om diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. Zowel de GBRO als de GBRIA stellen dat de auditor er voor moet zorgen dat zijn vaktechnische kennis en vaardigheden van voldoende niveau zijn en blijven en dat de auditor zijn werk in overeenstemming met de vaktechnische normen en standaarden uitvoert. De Code of Ethics van de IIA NL daarentegen werkt de eis van deskundigheid uit door te stellen dat de Internal auditor alleen die opdrachten mag vervullen waarvoor hij voldoende kennis, vaardigheden en ervaring bezit, dat hij zijn werk zo veel mogelijk moet uitvoeren in overeenstemming met de International Standards for the Professional Practice of Internal Auditing van de IIA en dat hij voortdurend moet zorgen voor kwaliteitsverbetering. Uit voorgaande blijkt dat de richtlijnen ten aanzien van deskundigheid grotendeels overeenkomen. Zij stellen namelijk allen dat de auditor alleen opdrachten mag vervullen waarvoor hij/zij voldoende kennis, vaardigheden en ervaring bezit, inclusief ten aanzien van het objectgebied waarop de audit zich richt. Zorgvuldigheid De Code of Ethics van de NOREA stelt dat de IT auditor zorgvuldig dient te handelen bij het verlenen van diensten en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften. Zowel de GBRO als de GBRIA eisen dat de auditor zorgt voor een deugdelijke grondslag voor de door hem gegeven oordelen en adviezen, en voor het verstrekken van relevante informatie omtrent de uitkomsten van de onderzoeken. Daarnaast stelt de GBRO dat de operational Auditor zijn rapporten, oordelen en adviezen zorgvuldig moet formuleren en zich steeds bewust moet zijn van de toepasselijkheid van de gehanteerde werkmethoden. De GBRIA stelt in verband met zorgvuldigheid als aanvullende eisen dat de taakopdracht duidelijk omschreven moet zijn, dat de uitgevoerde werkzaamheden zodanig moeten worden vastgelegd dat zij een goed beeld geven van wat er is gedaan en dat deze registratie zeven jaar bewaard moet blijven. De Code of Ethics van de IIA NL daarentegen geeft geen richtlijnen ten aanzien van zorgvuldigheid, maar geeft een verwijzing naar een uitgebreide uitwerking in de Standards for the Professional Practice of Internal Auditing. Bij de vergelijking van de richtlijnen van de NOREA, de GBRO en de GBRIA ten aanzien van zorgvuldigheid valt op dat de richtlijn in de Code of Ethics van de NOREA veel algemener is gesteld dan de richtlijnen zoals deze zijn opgesteld in de GBRO en de GBRIA. Geheimhouding / Vertrouwelijkheid De Code of Ethics van de NOREA stelt dat de IT auditor een geheimhoudingsplicht heeft ten aanzien van zijn sociale relaties, de audit organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een cliënt of organisatie. De NOREA geeft geen specifieke richtlijnen ten aanzien van vertrouwelijkheid. De Code of Ethics van de IIA NL stelt dat de auditor de aan hem verschafte vertrouwelijke, cq. geheime informatie vertrouwelijk moet behandelen cq. geheim houden, tenzij hij door de wet hiervan moet afwijken. Bestudering van de verschillende richtlijnen ten aanzien van geheimhouding en verklaring laat zien dat de gehanteerde benamingen weliswaar verschillen, maar dat de betekenissen grotendeels gelijk zijn. Namelijk: de IT en de operational auditors moeten de aan hen toevertrouwde informatie vertrouwelijk behandelen cq. geheim houden. Professioneel Gedrag / Ethiek De Code of Ethics van de NOREA stelt dat de IT auditor zich dient te houden aan de relevante wet- en regelgeving en zich moet onthouden van handelingen die het audit beroep in diskrediet kunnen brengen. De regel van de VRO met betrekking tot ethische conflicten geeft aan dat de auditor het bestuur van zijn organisatie moet informeren wanneer hij van mening is dat hij door het uitvoeren van zijn werk gedrag moet vertonen dat in strijd is met de letter en/of geest van het reglement en hij daardoor zijn geloofwaardigheid en/of integriteit als RO-er zou schaden. Mocht deze strijdigheid niet naar zijn tevredenheid worden opgelost, dan moet de auditor het 27
estuur van zijn organisatie en van de VRO gemotiveerd inlichten dat hij niet langer als een bij de VRO geregistreerde operational auditor kan werken. Ook bij deze eis verschillen de benamingen, maar in dit geval vertonen ook de uitwerkingen van de richtlijnen verschillen. De NOREA geeft aan dat de auditor zich moet houden aan relevante wet- en regelgeving, terwijl de VRO aangeeft welke stappen een auditor moet ondernemen in het geval van een ethisch conflict. Concluderend kunnen we stellen dat de eisen vanuit de beroepsorganisaties, ondanks een aantal afwijkingen, over het algemeen sterk overeenkomen en dat er vandaar uit dus weinig verschillen zijn ten aanzien van de wijze waarop de IT en operational auditors geacht worden te acteren. Opvallend in dit verband, is de integratie overeenkomst tussen de VRO en IIA is. Hoewel de IIA gericht is op internal auditors, en daarmee dus ook op IT auditors, lijkt de IIA zich door deze samenwerking met name te richten op operational auditors. Een nadere bestudering van de eisen vanuit de drie beroepsorganisaties laat zien dat er in ieder geval op dat vlak weinig belemmering is voor een eventuele aansluiting van de NOREA. 5.7 Tot slot In dit hoofdstuk hebben wij de uitkomsten van het literatuuronderzoek, zoals behandeld in de voorgaande drie hoofdstukken, met elkaar in verband gebracht. Dit hebben wij gedaan teneinde een antwoord te geven op de eerste subvraag. Namelijk wat de verschillen en overeenkomsten zijn in de aspecten die een rol spelen bij de uitvoering van IT en operational audits. Wat betreft deze aspecten hebben wij ons in het bijzonder gericht op de objecten, de kwaliteitsaspecten, de normen, de audit fases en de auditor. Uit deze analyse kwam het volgende naar voren: • De objecten komen bij beide vakgebieden sterk overeen, alleen is de optiek van waaruit zij deze objecten benaderen anders. Beiden kijken namelijk naar de organisatie, de bedrijfsvoering, de producten en de beheersing daarvan, alleen benadert IT auditing dit alles vanuit de informatiesystemen en operational auditing vanuit de organisatie in het algemeen; • Aspecten moeten worden bezien in relatie tot het object waar zij betrekking op hebben. Wanneer een aspect bij IT en operational auditing betrekking heeft op een zelfde object, is er op dit vlak geen verschil tussen beide vakgebieden; • Behalve Prince2 dat een projectenmethodiek is, verschillen de algemene normenkaders bij IT en operational auditing. Deze normenkaders komen namelijk voort uit methodieken die worden gehanteerd ten aanzien van specifieke onderwerpen, en deze onderwerpen zijn IT dan wel organisatie algemeen georiënteerd. Afhankelijk van het te toetsen object kunnen de twee vakgebieden wel goed elkaars algemene normenkaders gebruiken; • De audit fases zijn universeel en daarmee dus ook gelijk bij IT en operational auditing; • De eisen die de beroepsorganisaties stellen ten aanzien van de auditors vertonen sterke overeenkomsten. Daar waar er verschillen zijn, dan betreft het de benaming (geheimhouding versus vertrouwelijkheid) of de kracht van de eis (moeten voldoen aan wet- en regelgeving versus hoe te handelen bij een ethisch conflict). Het antwoord op de eerste subvraag luidt derhalve dat een groot aantal van de aspecten die een rol spelen bij de uitvoering van IT en operational audits sterke overeenkomsten vertonen bij beide disciplines. Het betreft de objecten, de aspecten gerelateerd aan deze objecten, de audit fases en een groot aantal van de door de beroepsorganisaties aan de auditors gestelde eisen. De geconstateerde verschillen betreffen de optiek van waaruit de onderzoeksobjecten worden benaderd, de algemene normenkaders en de benaming en invulling van sommige eisen zoals de beroepsorganisaties die aan de auditors stellen. In het volgende hoofdstuk zullen wij deze uitkomsten mede gebruiken voor de beantwoording van de tweede subvraag, namelijk: “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”. 28
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15 and 16: specifieke Reglementen, Richtlijnen
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25 and 26: Onderstaand figuur geeft een weerga
Page 27: 5.6 De auditor De beroepsorganisati
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

Create successful ePaper yourself

Delete template?

Save as template?