804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

estaan van de logische toegangsbeveiliging wordt veelal getoetst vanuit een veranderingsaudit. De werking van de logische toegangsbeveiliging wordt primair getoetst door de operational auditors. De jaarrekening controle wordt door externe audit organisaties uitgevoerd. Departementale Audit Dienst Ministerie van Justitie Bij de interne audit dienst van het Ministerie van Justitie, de ‘Departementale Audit Dienst’, werken ongeveer 40 medewerkers. Daarnaast kunnen ze aanspraak maken op 3.5 FTE uit de EDP audit pool en is er budget beschikbaar voor het inhuren van externen. De audit dienst is ingedeeld in een drietal (klantgerichte) clusters. Bij de Departementale Audit Dienst is er bewust voor gekozen om geen scheiding tussen operational en IT audit te hebben, aangezien dat beter is voor de carrière mogelijkheden van de auditors. Als voordelen voor de scheiding worden onder andere genoemd de mogelijkheid van het uitvoeren van geïntegreerde audits en het klantgericht, in plaats van productgericht, inrichten van de audit functie. Nadelen die worden genoemd zijn het moeilijk onderhouden van kennis en het ontbreken van inzicht in de optimale inzet van de (kennis van de) medewerkers. Hoewel er bij de Departementale Audit Dienst geen functioneel onderscheid is tussen IT en operational auditors, worden audits waarbij specialistische IT kennis nodig is toch voornamelijk uitgevoerd door IT auditors. De audits naar General IT Controls worden uitgevoerd door de IT auditors van de Departementale Audit Dienst. Het komt zelden voor dat een operational auditor een audit naar General IT Controls uitvoert. Hetzelfde geldt voor de logische toegangsbeveiliging. Er worden vrij veel project audits uitgevoerd en tevens vindt de jaarrekening controle plaats. Deze laatste wordt vooral door extern ingehuurde auditors uitgevoerd. 6.3.2 Normen Onderstaand overzicht geeft schematisch weer welke normenkaders de twee audit diensten gebruiken: Group Audit ABN AMRO Departementale Audit Dienst Ministerie van Justitie Algemene normenkaders IT audit: CobiT Operational audit: COSO ITIL, CobiT en COSO Interne normenkaders Interne ABN AMRO regels Voorschrift Informatiebeveiliging Rijksdienst (VIR) Handboek Auditing Rijksoverheid Audit programma’s Standaard, centraal opgestelde audit programma’s toegesneden op audit Geen standaard audit programma’s Figuur 9: Overzicht van de gebruikte normenkaders binnen ABN AMRO en het Ministerie van Justitie Group Audit ABN AMRO Bij Group Audit vindt iedere audit plaats op basis van een, op de audit toegesneden, audit programma. Bij operational audit wordt COSO als algemeen normenkader gebruikt. Bij IT audit wordt CobiT als vertrekpunt en als referentie voor de toetsing van de volledigheid van het audit programma gebruikt. In beide gevallen geldt dat deze algemene normenkaders niet worden gehanteerd als richtinggevende normen. Andere toetsingscriteria die binnen ABN AMRO Bank worden gebruikt zijn de eigen ABN AMRO regels, algemene sound practices zoals ITIL, de richtingbepalende criteria die komen van de Nederlandse Vereniging van Banken en de sound practices uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA. Departementale Audit Dienst Ministerie van Justitie Bij de Departementale Audit Dienst worden als algemeen normenkader ITIL, CobiT en COSO gehanteerd. Daarnaast is er het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Dit is het interne normenkader dat is gebaseerd op de Code voor Informatiebeveiliging. De Departementale Audit Dienst maakt geen gebruik van standaard audit programma’s. Wel is er een handboek Auditing Rijksoverheid waarin richtlijnen zijn opgenomen voor het uitvoeren van audits, zowel met betrekking tot de jaarrekeningcontrole als met betrekking tot de overige audits (IT en operational audits). 6.3.3 De audit planning Group Audit ABN AMRO Binnen Group Audit is er een verschil tussen het opzetten van de planning van operational audits en het opzetten van de planning van de IT audits. De (regionale en centrale) operational audit teams bepalen zelfstandig hun planning op basis van risico analyses, terwijl er bij IT Audit centrale thema’s/objecten zijn bepaald die regionaal 31
afgedekt moeten worden. De regio’s zijn vervolgens wel weer vrij om te bepalen hoe zij deze thema’s zullen afdekken. De IT en operational audit planningen worden op elkaar afgestemd. Departementale Audit Dienst Ministerie van Justitie De planning van de Departementale Audit Dienst van het Ministerie van Justitie wordt opgezet aan de hand van risicoanalyses. De departementen voeren risicoanalyses uit en van daar uit worden de belangrijkste thema’s gedestilleerd. Per thema worden de audits gedefinieerd, die uiteindelijk per kwartaal worden gepland. 6.3.4 De auditor Group Audit ABN AMRO Group Audit stelt specifieke opleidingseisen per audit specialisme. Binnen Nederland dienen de auditors over een R-titel (RA, RO, RE of RC) te beschikken of er voor in opleiding te zijn. In de overige regio’s dienen de auditors over een C-titel te beschikken, bijvoorbeeld CIA, CPA, CMA of CISA. Vanuit Group Audit stromen medewerkers door naar alle geledingen van de ABN AMRO Bank, zowel binnen als buiten Group Audit. Binnen Group Audit komt het voor dat IT auditors overstappen naar operational audit, maar de overstap van operational audit naar IT audit vindt veel minder vaak plaats. Departementale Audit Dienst Ministerie van Justitie De auditors binnen de Departementale Audit Dienst zijn geen specialisten maar generalisten, wel heeft iedereen een R-titel (RA, RO, RE etc). De organisatie kent geen onderscheid tussen de RA, RO en RE functie. De RE-ers zullen misschien meer op IT aspecten worden ingezet, maar RO-ers zullen dit even goed moeten doen. Zowel organisatorisch als functie inhoudelijk is er dus geen onderscheid tussen type auditors. Bij de Departementale Audit Dienst streeft men er naar dat een auditor in een periode van 7 tot 8 jaar doorgroeit naar een management functie binnen, dan wel buiten de audit dienst. Juist het niet hebben van een onderscheid tussen IT en operational auditing zou aan deze doorstroming moeten bijdragen. 6.4 Tot slot Het praktijkonderzoek was gericht op het in beeld brengen van hoe wordt omgegaan met de verschillen en de overeenkomsten in aspecten die een rol spelen bij de uitvoering van IT en operational audits voor de inrichting van de interne audit functies. Teneinde deze vraag te beantwoorden hebben wij vragen gesteld aan de leidinggevende van een organisatie met én de leidinggevende van een organisatie zonder onderscheid in IT audit en operational audit functies. Deze vragen hadden onder andere betrekking op de interne audit organisatie, de soorten uitgevoerde audits, de gehanteerde normen, de audit planning en de aan de auditors gestelde opleidingseisen. Uit dit praktijkonderzoek kwam het volgende naar voren: • De interne audit dienst van de ABN AMRO Bank is aanzienlijk groter dan die van het Ministerie van Justitie. Daar waar ABN AMRO Bank 850 auditors in dienst heeft, heeft het Ministerie van Justitie er 40. Van die 850 audit medewerkers bij de ABN AMRO Bank zijn 97 IT auditors, terwijl het Ministerie van Justitie naast de 40 audit medewerkers aanspraak kan maken op 3.5 fte uit de EDP audit pool. Dat deze verschillen in aantallen direct samenhangen met de omvang van de organisatie waar de twee interne audit diensten zich op richten, kunnen we niet direct concluderen. Immers, bij de ABN AMRO Bank werken tussen de 80.000 en 100.000 medewerkers en bij het Ministerie van Justitie 40.000. Een verklaring voor dit verschil ligt mogelijk in andere verschillen tussen de twee door ons onderzochte organisaties. Namelijk in het type organisatie (een financiële instelling versus een overheidsinstelling), de geografische spreiding (wereldwijd versus in Nederland) en het aantal datacentra (meerderen wereldwijd versus vier in Nederland). Of dit echter ook daadwerkelijk zo is zou in een vervolg onderzoek getoetst kunnen worden; • Zowel bij de ABN AMRO Bank als bij de Departementale Audit Dienst van het Ministerie van Justitie is een bewuste keuze gemaakt voor het hebben van een onderscheid, cq. voor het hebben van geen onderscheid tussen IT en operational audit functies. Wat opvalt is dat hoewel er bij de Departementale Audit Dienst geen sprake is van een onderscheid tussen IT en operational audit functies, in de praktijk de 32
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15 and 16: specifieke Reglementen, Richtlijnen
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25 and 26: Onderstaand figuur geeft een weerga
Page 27 and 28: 5.6 De auditor De beroepsorganisati
Page 29 and 30: estuur van zijn organisatie en van
Page 31: Schematisch zien de resultaten met
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

Create successful ePaper yourself

Delete template?

Save as template?