804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

IT matige aspecten toch door een IT auditor worden uitgevoerd. Bij ABN AMRO valt op dat ondanks het
expliciet onderscheid tussen IT audit en operational audit functies, een aantal audits gezamenlijk door IT
auditors en operational auditors worden uitgevoerd. Dit betrof veranderingsaudits en audits naar
projecten. In het bijzonder bij de veranderingsaudits toetsen de IT en de operational auditors gezamenlijk
de opzet en het bestaan van de logische toegangsbeveiliging;
• Met betrekking tot de gehanteerde normen hebben wij geconstateerd dat beide audit diensten gebruik
maken van algemene en organisatie specifieke normenkaders. Tevens zagen wij dat de audit dienst van
ABN AMRO, ter ondersteuning van de uitvoering van audits, gebruik maakt van standaard audit
programma’s en het Ministerie van Justitie niet. Mogelijk dat de omvang van de audit organisatie van
ABN AMRO Bank een dergelijke standaardisatie noodzakelijk maakt. Ook deze mogelijke samenhang
zou een onderwerp voor een eventueel vervolgonderzoek kunnen zijn;
• De twee interne audit diensten komen sterk overeen wat betreft de wijze waarop de planningen tot stand
komen. Zowel voor de operational audits van ABN AMRO Bank als voor de audits van het Ministerie
van Justitie komt de audit planning tot stand op basis van risico analyses. Alleen de planning van de IT
audits bij de ABN AMRO is gebaseerd op centraal bepaalde thema’s. Hoe deze thema’s worden bepaald
hebben wij niet onderzocht. Mogelijk zijn ook deze gebaseerd op een risico analyse;
• De aan de auditors gestelde opleidingseisen verschillen niet. Beide organisaties eisen dat de auditors een
post doctorale audit opleiding volgen. Opvallend was dat hoewel ABN AMRO Bank een onderscheid
maakt tussen IT en operational auditing functies, zij aan haar auditors geen eisen stelt ten aanzien van de
te volgen dan wel gevolgde post doctorale opleiding. Belangrijker is de affiniteit met het vakgebied dat
wordt beoordeeld.
Op basis van bovenstaande resultaten kunnen wij het volgende antwoord geven op de tweede subvraag, “Hoe
wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT
en Operational audits bij de inrichting van de interne audit functie?”: Met name het verschil in de optiek van waar
uit de audit objecten worden getoetst heeft invloed op de inrichting van de interne audit functie, meer in het
bijzonder op het maken van een onderscheid tussen IT en operational auditing functies. Uit ons onderzoek is
namelijk gebleken dat bij beide organisaties de IT-matige aspecten door IT auditors worden getoetst en niet door
operational auditors. Tevens kunnen wij hieruit concluderen dat het niet uitmaakt hoe de IT en Operational
auditors binnen een organisatie zijn ingedeeld, in één team opererend of niet. Immers, hoewel het Ministerie van
Justitie formeel geen onderscheid maakt tussen IT en operational auditors, zet zij toch IT auditors in voor het
toetsen van de meer complexere IT objecten, de General IT controls en de logische toegangsbeveiliging, en niet
operational auditors. Met betrekking tot de overige aspecten gingen de twee door ons onderzochte organisaties
hetzelfde om: beide audit diensten voeren speciale onderzoeken en project audits uit, hanteren algemene en
interne normen, maken de audit planning op basis van een risico analyse en eisen dat de auditors een post
doctorale audit opleiding volgen. .
In het volgend hoofdstuk zullen wij de resultaten zoals gepresenteerd in dit en vorig hoofdstuk met elkaar in
verband brengen ten einde een antwoord te kunnen geven op de hoofdvraag. Namelijk: “Wat is het optimale
model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid
tussen IT en operational auditing?”
33