804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
1 Inleiding en onderzoeksvraag<br />
Interne audit organisaties kunnen op verschillende manieren zijn georganiseerd. Zij kunnen verschillen in het<br />
soort audits die ze willen (laten) uitvoeren, in de wijze waarop zij de verschillende disciplines binnen hun eigen<br />
organisatie hebben gestructureerd, en zij kunnen verschillen in de eisen die ze dientengevolge aan hen auditors<br />
stellen. Zo zijn er organisaties die van hun interne auditors verwachten dat ze zowel financial, IT als operational<br />
audits uitvoeren. Maar er zijn ook audit organisaties die voor ieder audit discipline specialisten in huis hebben,<br />
die zij in meer of mindere mate met elkaar laten samenwerken. Uit onderzoek van Paape (Paape, 2005) is ook<br />
gebleken dat de omvang van een interne audit organisatie verschilt per type bedrijfsvoering en per grote van de<br />
organisatie. Zo hebben grotere bedrijven meer auditors in dienst, hebben Telecom, IT en Media bedrijven<br />
gemiddeld 7 fte voor audit beschikbaar, Openbare diensten 29 fte en Financiële dienstverleners 66 fte.<br />
De centrale audit afdeling van ABN AMRO Bank bestaat wereldwijd uit circa 900 fte. Binnen de centrale audit<br />
afdeling van ABN AMRO Bank (“Group Audit”) is er organisatorisch een onderscheid gemaakt tussen IT en<br />
operational audit, en binnen de centrale IT audit afdeling tussen technical en system audit teams. Zowel de<br />
operational als de system auditors zijn ingedeeld in teams die de organisatiestructuur van ABN AMRO volgen.<br />
De technical auditors daarentegen vormen één algemeen team dat zich richt op de centrale IT organisatie en de<br />
algemene ondersteunende IT systemen.<br />
De operational auditors voeren audits uit naar de beheersing van de organisatieprocessen binnen de aan hen<br />
toegewezen bedrijfsonderdelen en de system auditors naar de beheersing van de door deze bedrijfsonderdelen<br />
gebruikte systemen. De technical auditors voeren onderzoeken uit naar de beheersing van de beheerprocessen<br />
binnen de IT organisatie, de infrastructurele IT systemen en de General IT Controls.<br />
Dit organisatorische onderscheid leidt ertoe dat het optimaal afstemmen van de auditdekking, namelijk het<br />
zodanig plannen en afbakenen van de audits, waarbij de te controleren omgeving zo effectief en efficiënt<br />
mogelijk wordt afgedekt en de auditee zo min mogelijk wordt belast, een lastig proces is. Immers, de audit<br />
objecten van de groepen operational, technical en system auditors zijn niet los van elkaar te zien en lopen vaak<br />
zelfs geruisloos in elkaar over. Om een goed oordeel over de kwaliteit van de beheersing van de<br />
organisatieprocessen te kunnen geven moeten de operational auditors ook kijken naar aspecten die een sterke IT<br />
component hebben, zoals de toegangbeveiliging. De system auditors kunnen op hun beurt de<br />
beheersingsmaatregelen die in de systemen zijn ingebracht, de zogenaamde applicatieve beheersingsmaatregelen,<br />
niet los zien van de organisatieprocessen die zij ondersteunen. Bovendien zullen de system auditors ook aandacht<br />
moeten besteden aan aspecten als de aansluiting van de applicaties op de infrastructurele systemen en de General<br />
IT Controls voor deze systemen. Aspecten waar ook de technical auditors een oordeel over geven.<br />
Aangezien ABN AMRO waarschijnlijk niet de enige organisatie is die met de hierboven geschetste knelpunten te<br />
maken heeft, willen wij met deze <strong>scriptie</strong> inzicht geven in aspecten die bijdragen aan een optimale inrichting van<br />
een interne audit functie gegeven het onderscheid tussen IT en operational auditing. In deze richtlijn zullen wij in<br />
ieder geval aandacht besteden aan aspecten die nodig zijn om het operationele proces van auditing uit te voeren,<br />
zoals de afbakening van de objecten, het bepalen van de normen en de eisen die gesteld worden aan de auditors.<br />
Deze <strong>scriptie</strong> zal derhalve de vorm hebben van een onderzoek binnen diverse interne audit organisaties, om op<br />
basis hiervan randvoorwaarden voor succes af te leiden. Hoewel er meer soorten audits zijn zoals financial,<br />
compliance, forensic, IT en operational auditing zullen wij ons alleen op de laatste twee richten.<br />
Naar aanleiding van bovenstaande situatie zijn wij tot de volgende onderzoeksvraag gekomen:<br />
“Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven<br />
het onderscheid tussen IT en operational auditing?”<br />
De subvragen die wij bij het beantwoorden van de hoofdvraag behandelen, zijn:<br />
1. “Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en<br />
overeenkomsten bestaan er hier tussen?”;<br />
2. “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de<br />
uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.<br />
3