IT-audit en operational audit- eenmanszaken of maten - Acs
IT-audit en operational audit- eenmanszaken of maten - Acs
IT-audit en operational audit- eenmanszaken of maten - Acs
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>IT</strong>-<strong>audit</strong> <strong>en</strong> <strong>operational</strong> <strong>audit</strong>: e<strong>en</strong>manszak<strong>en</strong> <strong>of</strong> mat<strong>en</strong>? 1<br />
Peter Hartog <strong>en</strong> Ron de Korte 2<br />
1. Inleiding<br />
Is het niet verwonderlijk dat <strong>IT</strong>-<strong>audit</strong>s binn<strong>en</strong> veel organisaties los staan van de andere<br />
<strong>audit</strong>s die word<strong>en</strong> uitgevoerd? En is het niet vreemd dat veel <strong>operational</strong> <strong>audit</strong>ors met<br />
e<strong>en</strong> boog om de geautomatiseerde system<strong>en</strong> he<strong>en</strong> lop<strong>en</strong>? In dit artikel wordt ingegaan<br />
op de overe<strong>en</strong>komst<strong>en</strong> én verschill<strong>en</strong> tuss<strong>en</strong> <strong>IT</strong>- <strong>en</strong> <strong>operational</strong> <strong>audit</strong>s. Vanzelf wordt<br />
dan ook uitgekom<strong>en</strong> op de mogelijkhed<strong>en</strong> (soms zelfs noodzaak!) tot sam<strong>en</strong>werking <strong>en</strong> de<br />
roll<strong>en</strong> van beid<strong>en</strong> daarin. We definiër<strong>en</strong> Managem<strong>en</strong>t Control <strong>audit</strong>ing <strong>en</strong> zi<strong>en</strong> dat als e<strong>en</strong><br />
toekomstvaste <strong>audit</strong>vorm waarin we niet zonder elkaar kunn<strong>en</strong>.<br />
Dit artikel is als volgt opgebouwd. Gestart wordt met e<strong>en</strong> overview van <strong>audit</strong> <strong>en</strong> de positie<br />
van de <strong>operational</strong> <strong>audit</strong> <strong>en</strong> <strong>IT</strong>-<strong>audit</strong> daarbinn<strong>en</strong>. Daarbij vergelijk<strong>en</strong> we <strong>operational</strong> <strong>audit</strong> met<br />
<strong>IT</strong>-<strong>audit</strong> <strong>en</strong> stell<strong>en</strong> we de overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong> vast.<br />
Vervolg<strong>en</strong>s wordt ingegaan op de vraag waar deze vakgebied<strong>en</strong> elkaar kunn<strong>en</strong> (<strong>of</strong> moet<strong>en</strong>)<br />
aanvull<strong>en</strong> <strong>en</strong> hoe dit kan word<strong>en</strong> gerealiseerd.<br />
2 <strong>IT</strong>- <strong>en</strong> Operational <strong>audit</strong>ing in verwondering naast elkaar<br />
In dit artikel wordt ingegaan op de relatie <strong>en</strong> verschill<strong>en</strong> tuss<strong>en</strong> <strong>IT</strong>-<strong>audit</strong>ors <strong>en</strong> <strong>operational</strong><br />
<strong>audit</strong>ors. Juist met h<strong>en</strong> vanwege de overlap van hun brede objectgebied<strong>en</strong>. Operational<br />
<strong>audit</strong>ors gev<strong>en</strong> e<strong>en</strong> oordeel over de kwaliteit van de beheersing van de organisatie.<br />
Beheersing wordt daarbij veelal ruim geïnterpreteerd als het geheel van maatregel<strong>en</strong> dat<br />
moet waarborg<strong>en</strong> dat de doelstelling<strong>en</strong> zull<strong>en</strong> word<strong>en</strong> bereikt. E<strong>en</strong> belangrijk deel van die<br />
maatregel<strong>en</strong> wordt met <strong>IT</strong> ondersteund. En e<strong>en</strong> deel van die beheersmaatregel<strong>en</strong> is ook juist<br />
weer belangrijk om risico’s uit ho<strong>of</strong>de van de toepassing van <strong>IT</strong> te beperk<strong>en</strong>. Anders gezegd,<br />
de beoogde organisatiedoel<strong>en</strong> zijn vaak slechts door toepassing van <strong>IT</strong> realiseerbaar; de<br />
realisatie van de doelstelling<strong>en</strong> kan echter ook staan <strong>of</strong> vall<strong>en</strong> met e<strong>en</strong> voldo<strong>en</strong>de<br />
beheersing van de toepassing van <strong>IT</strong>. <strong>IT</strong> kan t<strong>en</strong>slotte de ‘<strong>en</strong>abler’ vorm<strong>en</strong> voor nieuwe,<br />
meer ambitieuze organisatiedoel<strong>en</strong>. Voldo<strong>en</strong>de red<strong>en</strong> tot verwondering van het naast elkaar<br />
bestaan van <strong>IT</strong>- <strong>en</strong> <strong>operational</strong> <strong>audit</strong>ing.<br />
1<br />
Del<strong>en</strong> van dit artikel zijn eerder in Informatie (nr. 47/1) versch<strong>en</strong><strong>en</strong> onder de titel "<strong>IT</strong>- <strong>en</strong> <strong>operational</strong> <strong>audit</strong>ing<br />
vloei<strong>en</strong> in elkaar over".<br />
2 Drs P.A. Hartog CIA is s<strong>en</strong>ior <strong>audit</strong>ing consultant bij ACS <strong>en</strong> doc<strong>en</strong>t van de pao Internal/Operational Auditing<br />
van de Erasmusuniversiteit Rotterdam.<br />
R.W.A. de Korte RA RE RO is plv. Program Director van de postacademische opleiding Internal/Operational<br />
Auditing, doc<strong>en</strong>t van de pao EDP-<strong>audit</strong>ing (EUR), associate van ACS <strong>en</strong> mede-initiatiefnemer van de k<strong>en</strong>nissite<br />
www.<strong>audit</strong>ing.nl.
Figuur 1: Sam<strong>en</strong>hang object<strong>en</strong> van <strong>IT</strong>- <strong>en</strong> <strong>operational</strong> <strong>audit</strong>ing<br />
Overig<strong>en</strong>s leid<strong>en</strong> beide <strong>audit</strong>vorm<strong>en</strong> ook op zichzelf al tot <strong>en</strong>ige verwondering. Operational<br />
<strong>audit</strong>ing (OA) blijkt in de praktijk e<strong>en</strong> containerbegrip: de ‘leek’ d<strong>en</strong>kt aan ‘het <strong>audit</strong><strong>en</strong> van de<br />
operatie’ <strong>en</strong> vertaalt dit naar proces<strong>audit</strong>s (gericht op de operationele, dagelijkse<br />
bedrijfsvoering). De accountant definieert het soms als de interim controle-werkzaamhed<strong>en</strong><br />
gericht op de AO/IC. De (oudere) literatuur b<strong>en</strong>adrukt veelal e<strong>en</strong> top-down b<strong>en</strong>adering<br />
gericht op de controle van de naleving <strong>en</strong> uitwerking van door het topmanagem<strong>en</strong>t<br />
uitgevaardigde ‘tight controls’ (c<strong>en</strong>trale beheersmaatregel<strong>en</strong>). Operational <strong>audit</strong>ing is<br />
daarmee e<strong>en</strong> vakgebied dat ook wordt opgeëist door onder meer internal <strong>audit</strong>ors,<br />
accountants, controllers, kwaliteits<strong>audit</strong>ors <strong>en</strong> consultants.<br />
Ook EDP- <strong>of</strong> <strong>IT</strong>-<strong>audit</strong>ing k<strong>en</strong>t e<strong>en</strong> breedte die regelmatig tot discussies leidt. Nadruk ligt dan<br />
vaak op de interpretatie van de term ‘<strong>audit</strong>ing’. B<strong>en</strong> je als <strong>IT</strong>-<strong>audit</strong>or als ‘koning één-oog’ in<br />
veel ‘blinde’ organisaties niet automatisch specialist <strong>en</strong> ‘adviseur’? Zijn <strong>IT</strong>-<strong>audit</strong>ors vooral<br />
‘ICT-techneut<strong>en</strong>’ <strong>of</strong> red<strong>en</strong>er<strong>en</strong> zij vanuit de organisatiedoelstelling<strong>en</strong>? In die laatste visie is er<br />
e<strong>en</strong> grote overlap met de moderne <strong>operational</strong> <strong>audit</strong>or. We zi<strong>en</strong> <strong>en</strong>kele post doctorale<br />
opleiding<strong>en</strong> dan ook naar elkaar toe groei<strong>en</strong>, leid<strong>en</strong>d tot e<strong>en</strong> e<strong>en</strong>jarige opleidingsvariant voor<br />
<strong>IT</strong>-<strong>audit</strong>ors tot Internal/<strong>operational</strong> <strong>audit</strong>or <strong>en</strong> vice versa.<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
3 Overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong><br />
3.1 Overe<strong>en</strong>komst<strong>en</strong><br />
Zowel <strong>operational</strong>- als <strong>IT</strong>-<strong>audit</strong>ing zijn vorm<strong>en</strong> van <strong>audit</strong>ing. Dit betek<strong>en</strong>t dat hun primaire<br />
product bestaat uit het gev<strong>en</strong> van e<strong>en</strong> oordeel op basis van onderzoek 3 . Echter vanuit e<strong>en</strong><br />
strev<strong>en</strong> om op voorhand de toegevoegde waarde van die onderzoek<strong>en</strong> te b<strong>en</strong>adrukk<strong>en</strong>,<br />
sprek<strong>en</strong> <strong>audit</strong>ors in de praktijk snel over aanbeveling<strong>en</strong> <strong>en</strong> advies. E<strong>en</strong> geme<strong>en</strong>schappelijk<br />
probleem is derhalve dat <strong>audit</strong>ors d<strong>en</strong>k<strong>en</strong> met onderzoek<strong>en</strong> gericht op het gev<strong>en</strong> van e<strong>en</strong><br />
oordeel e<strong>en</strong> te beperkte toegevoegde waarde te lever<strong>en</strong>. ‘Het managem<strong>en</strong>t wil niet alle<strong>en</strong><br />
hor<strong>en</strong> dat het niet goed is, maar wil wet<strong>en</strong> hoe het op te loss<strong>en</strong>’, is dan het argum<strong>en</strong>t van de<br />
<strong>audit</strong>or.<br />
In die uitspraak komt het onderzoekstechnische probleem scherp naar vor<strong>en</strong>: om ‘het’ op te<br />
loss<strong>en</strong> moet niet alle<strong>en</strong> e<strong>en</strong> onderzoek zijn gedaan naar het verschil in de gew<strong>en</strong>ste <strong>en</strong> de<br />
feitelijke situatie (e<strong>en</strong> zog<strong>en</strong>aamd probleemsignaler<strong>en</strong>d onderzoek), maar di<strong>en</strong>t tev<strong>en</strong>s<br />
bek<strong>en</strong>d te zijn <strong>of</strong> te zijn onderzocht, wat de oorzak<strong>en</strong> zijn van dit verschil (e<strong>en</strong> diagnostisch<br />
onderzoek).<br />
Pas nadat de oorzak<strong>en</strong> bek<strong>en</strong>d zijn, kan gericht onderzoek plaatsvind<strong>en</strong> naar aangedrag<strong>en</strong><br />
mogelijke oplossing<strong>en</strong> <strong>of</strong> naar e<strong>en</strong> blauwdruk die de oorzak<strong>en</strong> van de verschill<strong>en</strong> tuss<strong>en</strong><br />
gew<strong>en</strong>ste <strong>en</strong> feitelijk situatie in voldo<strong>en</strong>de mate zal wegnem<strong>en</strong> (ontwerpgericht onderzoek). 4<br />
Figuur 2: Onderbouwing van ‘adviez<strong>en</strong>’ in de praktijk<br />
Hier gaat het in de praktijk veelvuldig mis. Probleemsignaler<strong>en</strong>de <strong>audit</strong>s word<strong>en</strong> vaak<br />
beëindigd met e<strong>en</strong> advies 5 , zonder dat de oorzak<strong>en</strong> expliciet zijn bekek<strong>en</strong>. Hierdoor ontstaat<br />
3 E<strong>en</strong> in beide beroepsgroep<strong>en</strong> gangbare definitie van <strong>audit</strong>ing is van Pr<strong>of</strong>. Kocks: Auditing is het vakgebied dat<br />
zich bezig houdt met het, op grond van onderzoek (<strong>audit</strong>) door e<strong>en</strong> deskundige (<strong>audit</strong>or), beoordel<strong>en</strong> van één <strong>of</strong><br />
meerdere (<strong>audit</strong>)object<strong>en</strong> in relatie tot (toetsings)norm<strong>en</strong> <strong>en</strong> het weergev<strong>en</strong> van de uitkomst<strong>en</strong> van het onderzoek<br />
in de vorm van e<strong>en</strong> oordeel aan de opdrachtgever <strong>en</strong>/<strong>of</strong> (via de opdrachtgever) aan derd<strong>en</strong>. Zie: Kocks, Pr<strong>of</strong>. C.,<br />
Auditing, <strong>audit</strong>, <strong>audit</strong>or, wat moet<strong>en</strong> we ermee?, in 20 over Internal/Operational Auditing; bijdrag<strong>en</strong> aan<br />
governance & control, 2003<br />
4 Zie Ott<strong>en</strong>, J.H.M., P.A. Hartog, <strong>en</strong> A. Babeliowsky: Auditmethodologie, metatool voor klantgericht <strong>audit</strong><strong>en</strong>; <strong>en</strong><br />
Korte, R.W.A. de : Audit <strong>en</strong>/<strong>of</strong> advies; kunn<strong>en</strong> we die discussie beëindig<strong>en</strong>?; in: Audit Magazine 1 december 2002<br />
resp. maart 2003,<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
e<strong>en</strong> groot risico dat de voorgestelde oplossing niet de werkelijke oorzak<strong>en</strong> weg zal nem<strong>en</strong>.<br />
Temeer daar de <strong>audit</strong>or vaak niet heeft gekek<strong>en</strong> (<strong>en</strong> gezi<strong>en</strong> de scope <strong>en</strong> beperkte middel<strong>en</strong><br />
ook niet heeft kunn<strong>en</strong> <strong>en</strong> hoev<strong>en</strong> kijk<strong>en</strong>) naar de totale context waarin de problematiek zich<br />
afspeelt. De manager zal de geschetste problematiek echter wel plaats<strong>en</strong> in de context van<br />
zijn totale verantwoordelijkheidsgebied <strong>en</strong> aldus veel meer factor<strong>en</strong> betrekk<strong>en</strong> bij de<br />
afweging <strong>of</strong> <strong>en</strong> hoe het probleem op te loss<strong>en</strong>. Vaak geeft dat hem andere inzicht<strong>en</strong> <strong>en</strong> e<strong>en</strong><br />
andere prioriteitstelling, waardoor slechts e<strong>en</strong> deel van de aanbeveling<strong>en</strong> wordt opgevolgd.<br />
Omgekeerd zi<strong>en</strong> we in veel gevall<strong>en</strong> dat <strong>audit</strong>ors (standaard) probleemsignaler<strong>en</strong>de <strong>audit</strong>s<br />
uitvoer<strong>en</strong>, terwijl het managem<strong>en</strong>t eig<strong>en</strong>lijk al op de hoogte is van het probleem <strong>en</strong> daarom<br />
meer gebaat is bij e<strong>en</strong> diagnostische <strong>audit</strong>.<br />
In plaats van aan de achterkant hoort de adviesfunctie aan de ‘voorkant’ van de <strong>audit</strong> te<br />
ligg<strong>en</strong>. De <strong>audit</strong>or adviseert de opdrachtgever over het type <strong>audit</strong>, de doelstelling <strong>en</strong> scope<br />
van het onderzoek, <strong>en</strong> helpt mogelijk bij het detailler<strong>en</strong> van de gehanteerde theorieën <strong>en</strong><br />
frameworks die als basis voor het norm<strong>en</strong>kader word<strong>en</strong> gebruikt. Zonder uitzondering<br />
accordeert de opdrachtgever de te hanter<strong>en</strong> normering.<br />
E<strong>en</strong> andere belangrijke overe<strong>en</strong>komst is dat beide vorm<strong>en</strong> (voor e<strong>en</strong> belangrijk deel)<br />
‘systeem’-<strong>audit</strong>s zijn. In teg<strong>en</strong>stelling tot ‘performance’-<strong>audit</strong>s die zijn gericht op e<strong>en</strong><br />
beoordeling van de uitkomst<strong>en</strong> zelf, zijn systeem<strong>audit</strong>s gericht op de waarborg<strong>en</strong> die er<br />
bestaan dat deze uitkomst<strong>en</strong> naar w<strong>en</strong>s zull<strong>en</strong> zijn. In de praktijk betek<strong>en</strong>t deze<br />
overe<strong>en</strong>komst dat we elkaars taal redelijk sprek<strong>en</strong>. M<strong>en</strong> zou het doel van de <strong>audit</strong> kunn<strong>en</strong><br />
omschrijv<strong>en</strong> als het verminder<strong>en</strong> van de onzekerheid <strong>of</strong> het beperk<strong>en</strong> van het risico van de<br />
opdrachtgever (<strong>of</strong> derd<strong>en</strong>) door k<strong>en</strong>nis toe te voeg<strong>en</strong>. Of we de <strong>audit</strong> dan (meer specifiek)<br />
aanduid<strong>en</strong> als <strong>operational</strong> <strong>of</strong> als <strong>IT</strong>-<strong>audit</strong> is voor de opdrachtgever niet interessant; de voor<br />
de <strong>audit</strong> b<strong>en</strong>odigde k<strong>en</strong>nis bepaalt de <strong>audit</strong>-teamsam<strong>en</strong>stelling. Zodra de<br />
beheersmaatregel<strong>en</strong> word<strong>en</strong> beïnvloed door informatietechnologie <strong>of</strong> juist betrekking hebb<strong>en</strong><br />
op e<strong>en</strong> <strong>IT</strong>-beheer- <strong>of</strong> <strong>IT</strong>-ontwikkelorganisatie, is specifieke <strong>IT</strong>-k<strong>en</strong>nis snel onontbeerlijk.<br />
Geconcludeerd kan dan ook word<strong>en</strong> dat <strong>IT</strong>-<strong>audit</strong>ors <strong>en</strong> <strong>operational</strong> <strong>audit</strong>ors elkaar met<br />
regelmaat teg<strong>en</strong> moet<strong>en</strong> kom<strong>en</strong>.<br />
Dan is er nog de overe<strong>en</strong>komst in de sam<strong>en</strong>werking met de register accountant. Zowel <strong>IT</strong><strong>audit</strong><br />
als <strong>operational</strong> <strong>audit</strong> heeft e<strong>en</strong> haat-liefde-verhouding met de financial <strong>audit</strong>discipline.<br />
Aan de <strong>en</strong>e kant vind<strong>en</strong> we dat we niet op onze waarde word<strong>en</strong> geschat <strong>en</strong> constater<strong>en</strong> we<br />
dat ‘de gemiddelde RA’ minimaal uitstraalt ‘het wel zelf te kunn<strong>en</strong>’. Die uitstraling is<br />
mogelijkerwijs terug te voer<strong>en</strong> op onbek<strong>en</strong>dheid met de problematiek.<br />
Aan de andere kant zi<strong>en</strong> we de RA zich op terrein<strong>en</strong> begev<strong>en</strong> waar wij vind<strong>en</strong> dat hij dat niet<br />
alle<strong>en</strong> kan. Ook bij ‘in control’-verklaring<strong>en</strong> wordt (zowel nationaal als internationaal) als<br />
eerste gekek<strong>en</strong> naar de financial <strong>audit</strong>or, hetzij als e<strong>en</strong> (meer <strong>of</strong> minder) onafhankelijk<br />
opgehang<strong>en</strong> interne accountantsdi<strong>en</strong>st, hetzij als de externe accountant met zijn bij wet<br />
geregelde certificer<strong>en</strong>de functie. De oplett<strong>en</strong>de RA k<strong>en</strong>t vervolg<strong>en</strong>s de RE <strong>en</strong> RO e<strong>en</strong> plek<br />
toe in zijn multidisciplinair sam<strong>en</strong>gestelde <strong>audit</strong>team. In de praktijk echter ontstaat er nogal<br />
e<strong>en</strong>s e<strong>en</strong> aannemer-onderaannemer-relatie, waarbij de onderaannemer kan word<strong>en</strong><br />
opgezadeld met e<strong>en</strong> onmogelijke opdracht <strong>of</strong> vraagstelling, zoals: “verklaar ev<strong>en</strong> dat dit<br />
systeem ‘in control’ is”. Vaak ontbeert de RA als ho<strong>of</strong>daannemer de tijd <strong>of</strong> k<strong>en</strong>nis om de<br />
vraagstelling <strong>en</strong> normstelling duidelijk te omschrijv<strong>en</strong>.<br />
5 Met advies bedoel<strong>en</strong> we hier niet het weinig relevante maar onschuldige ‘herhal<strong>en</strong> van de norm’. Bedoeld<br />
wordt e<strong>en</strong> advies over HOE de situatie te verbeter<strong>en</strong> <strong>en</strong> aan de norm te voldo<strong>en</strong>.<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
Vanzelfsprek<strong>en</strong>d zijn er ook verschill<strong>en</strong>. Die besprek<strong>en</strong> wij door nader in te gaan op het<br />
specifieke van beide <strong>audit</strong>vorm<strong>en</strong>.<br />
3.2 Verschill<strong>en</strong><br />
De belangrijkste verschill<strong>en</strong> zijn (<strong>en</strong>igszins gestileerd) weergegev<strong>en</strong> in onderstaande tabel.<br />
Deze zull<strong>en</strong> daarna word<strong>en</strong> toegelicht in de paragraf<strong>en</strong> 3.2.1 (<strong>IT</strong>-<strong>audit</strong>ing) <strong>en</strong> 3.2.2<br />
(<strong>operational</strong> <strong>audit</strong>ing).<br />
<strong>IT</strong>-<strong>audit</strong>ing Operational <strong>audit</strong>ing<br />
Reikwijdte rol Toets<strong>en</strong>d + (in praktijk veelal Toets<strong>en</strong>d – verschaff<strong>en</strong> van<br />
ook) inricht<strong>en</strong>d<br />
additionele zekerheid<br />
Object <strong>IT</strong> (in al zijn facett<strong>en</strong>) Beheersing organisatiedoel<strong>en</strong><br />
(organisatie-e<strong>en</strong>hed<strong>en</strong>,<br />
process<strong>en</strong>, thema’s)<br />
(Kwaliteits-)aspect<strong>en</strong> Focus op betrouwbaarheid Alle KSF’<strong>en</strong> gebaseerd op<br />
(integriteit) <strong>en</strong> continuïteit<br />
Aard controls Focus op technisch<br />
organisatorische controls<br />
3.2.1 <strong>IT</strong>-<strong>audit</strong>ing<br />
organisatiedoelstelling<strong>en</strong><br />
Technisch én sociaal<br />
organisatorische controls<br />
Het specifieke van <strong>IT</strong>-<strong>audit</strong>ing is vanzelfsprek<strong>en</strong>d in belangrijke mate geleg<strong>en</strong> in haar<br />
objectgebied, de ‘<strong>IT</strong>’. Dit objectgebied is breed. ‘De <strong>IT</strong>’ is e<strong>en</strong> ongrijpbaar begrip. <strong>IT</strong> wordt in<br />
e<strong>en</strong> <strong>audit</strong> pas hanteerbaar zodra het wordt b<strong>en</strong>aderd op specifieke onderdel<strong>en</strong>, zoals het<br />
informatiemanagem<strong>en</strong>t, de informatiesystem<strong>en</strong> (applicaties), de gebruikers, de hardware <strong>en</strong><br />
de <strong>IT</strong>-organisatie. In de handreiking “Oordel<strong>en</strong> van gekwalificeerde <strong>IT</strong>-<strong>audit</strong>ors” wordt <strong>IT</strong><strong>audit</strong><br />
als volgt omschrev<strong>en</strong>:<br />
“<strong>IT</strong>-<strong>audit</strong> is de discipline die zich bezig houdt met het beoordel<strong>en</strong> van <strong>en</strong> adviser<strong>en</strong> over de<br />
kwaliteit van de informatieverwerking in e<strong>en</strong> omgeving waarin sprake is van informatietechnologie<br />
t<strong>en</strong> behoeve van de beheersing daarvan.”<br />
Opvall<strong>en</strong>d is dat deze definitie breder is dan de ess<strong>en</strong>tie van <strong>audit</strong>ing, zijnde het gev<strong>en</strong> van<br />
e<strong>en</strong> oordeel aan de opdrachtgever. In artikel 1 van de Gedrags- <strong>en</strong> Beroepsregels EDP<strong>audit</strong>ors<br />
(GBRE) staat e<strong>en</strong> definitie van de attestfunctie: “het geheel van activiteit<strong>en</strong> dat is<br />
gericht op het afgev<strong>en</strong> van e<strong>en</strong> oordeel”. In het NOREA-studierapport nummer 2<br />
(kwaliteitsmodel voor Register EDP-<strong>audit</strong>ors 6 ) wordt de attestfunctie weliswaar “de primaire<br />
taak van de Register EDP-<strong>audit</strong>or” g<strong>en</strong>oemd, maar tev<strong>en</strong>s opgemerkt: “Naast de<br />
attestfunctie kan de Register EDP-<strong>audit</strong>or gevraagd word<strong>en</strong> om als adviseur op te tred<strong>en</strong>.<br />
Ook is het mogelijk dat Register EDP-<strong>audit</strong>ors word<strong>en</strong> ingeschakeld om het managem<strong>en</strong>t te<br />
ondersteun<strong>en</strong> <strong>of</strong> zelfs daadwerkelijk zak<strong>en</strong> uit te voer<strong>en</strong>.” Let daarbij op het woordje ‘zelfs’.<br />
In de praktijk zi<strong>en</strong> we <strong>IT</strong>-<strong>audit</strong>ors met <strong>en</strong>ige regelmaat inderdaad de adviesrol (<strong>of</strong> zelfs de rol<br />
in de lijn) nog wel e<strong>en</strong>s innem<strong>en</strong>. De <strong>IT</strong>-<strong>audit</strong>or is vaak bij uitstek de specialist <strong>en</strong> wordt<br />
daarmee snel adviseur. In plaats van e<strong>en</strong> <strong>audit</strong>rol vervult de <strong>IT</strong>-<strong>audit</strong>or bijvoorbeeld de rol<br />
van lid in het project <strong>en</strong> helpt mee bij het definiër<strong>en</strong> van de specs. Hij is immers snel de<br />
<strong>en</strong>ige die verstand heeft van ‘beveiliging’ <strong>en</strong> van het creër<strong>en</strong> van de ‘<strong>audit</strong> trail’.<br />
6 In lijn met het besluit van NOREA, sprek<strong>en</strong> wij van <strong>IT</strong>-<strong>audit</strong>ing t<strong>en</strong>zij de letterlijke tekst waarnaar wij verwijz<strong>en</strong> de<br />
term EDP-<strong>audit</strong>ing is gehanteert.<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
De RE treedt, op het mom<strong>en</strong>t dat hij instemt met het verzoek bov<strong>en</strong>staand g<strong>en</strong>oemde<br />
overige werkzaamhed<strong>en</strong> uit te voer<strong>en</strong>, nadrukkelijk niet op als <strong>audit</strong>or in de gangbare<br />
definitie van dat begrip. Overig<strong>en</strong>s geldt deze rolbeschrijving (rolbeperking) ook voor de<br />
<strong>operational</strong> <strong>audit</strong>or <strong>en</strong> is het Instituut <strong>of</strong> Internal Auditors (IIA) duidelijk wanneer het gaat om<br />
implem<strong>en</strong>tatiewerkzaamhed<strong>en</strong>: deze zijn voor internal <strong>audit</strong>ors niet toegestaan!<br />
E<strong>en</strong> belangrijk deel van de <strong>IT</strong>-<strong>audit</strong>s richt zicht op beveiliging <strong>en</strong> beheersing. Deze begripp<strong>en</strong><br />
zijn dan veelal teruggebracht tot betrouwbaarheid (van de uitkomst<strong>en</strong> van het<br />
geautomatiseerde proces), integriteit (van de opgeslag<strong>en</strong> data) <strong>en</strong> continuïteit (van het<br />
geautomatiseerde proces). Mogelijkhed<strong>en</strong> tot verbreding zijn er echter te over. D<strong>en</strong>k<br />
bijvoorbeeld aan de invloed van <strong>IT</strong>-toepassing<strong>en</strong> op het gedrag van gebruikers,<br />
mogelijkhed<strong>en</strong> tot ondersteuning in het kader van managem<strong>en</strong>t control <strong>of</strong> van innovatie <strong>en</strong><br />
het leervermog<strong>en</strong> van e<strong>en</strong> organisatie. Dit zijn interessante gebied<strong>en</strong> waarin k<strong>en</strong>nis van <strong>IT</strong><br />
goed van pas kan kom<strong>en</strong> <strong>of</strong> zelfs ess<strong>en</strong>tieel is. Daarmee kom<strong>en</strong> <strong>IT</strong>-<strong>audit</strong>or dicht bij hun<br />
<strong>operational</strong> <strong>audit</strong>-collega’s.<br />
3.2.2. Operational <strong>audit</strong>ing <strong>en</strong> de ontwikkeling tot Managem<strong>en</strong>t Control <strong>audit</strong>ing<br />
Het doel van e<strong>en</strong> <strong>operational</strong> <strong>audit</strong> definiër<strong>en</strong> wij als:<br />
het gev<strong>en</strong> van additionele zekerheid aan de opdrachtgever (<strong>of</strong> via die opdrachtgever aan<br />
derd<strong>en</strong>) over de kwaliteit van de beheersmaatregel<strong>en</strong> gericht op het realiser<strong>en</strong> van de<br />
organisatiedoel<strong>en</strong>.<br />
Het gev<strong>en</strong> van additionele zekerheid betek<strong>en</strong>t dat de opdrachtgever over het object van<br />
onderzoek al over k<strong>en</strong>nis beschikt, maar red<strong>en</strong><strong>en</strong> ziet om aan e<strong>en</strong> <strong>audit</strong>or e<strong>en</strong> oordeel te<br />
vrag<strong>en</strong> dat gebaseerd is op e<strong>en</strong> gedeg<strong>en</strong> onderzoek. Die red<strong>en</strong><strong>en</strong> kunn<strong>en</strong> voortkom<strong>en</strong> uit de<br />
behoefte aan e<strong>en</strong> onafhankelijk oordeel van e<strong>en</strong> derde (bijvoorbeeld voor e<strong>en</strong><br />
toezichthouder), maar bijvoorbeeld ook uit de w<strong>en</strong>s om informatie die niet wordt geleverd<br />
door de reguliere informatiesystem<strong>en</strong> <strong>en</strong> overlegvorm<strong>en</strong>. Belangrijk is dat de <strong>audit</strong>or niet in<br />
de plaats treedt van de verantwoordelijk manager <strong>en</strong> dat de <strong>audit</strong> ge<strong>en</strong> onderdeel uit maakt<br />
van de reguliere informatieverschaffing die is b<strong>en</strong>odigd voor het beheers<strong>en</strong> van de<br />
organisatie.<br />
Het objectgebied van de <strong>operational</strong> <strong>audit</strong>or is de beheersing <strong>of</strong>wel ‘managem<strong>en</strong>t control’.<br />
De beheersing kan process<strong>en</strong> <strong>en</strong> organisaties betreff<strong>en</strong>, maar ook thema’s zoals integriteit,<br />
klantgerichtheid <strong>of</strong> verandervermog<strong>en</strong>. Operational <strong>audit</strong>ors invester<strong>en</strong> daartoe in k<strong>en</strong>nis van<br />
verschill<strong>en</strong>de control frameworks.<br />
Accountants daar<strong>en</strong>teg<strong>en</strong> red<strong>en</strong>er<strong>en</strong> van oudsher voornamelijk vanuit het gedachtegoed van<br />
Starreveld et al. Vanuit hun controle-opdracht formuler<strong>en</strong> zij de betrouwbaarheid van de<br />
informatie vaak als belangrijkste doelstelling <strong>en</strong> toets<strong>en</strong> de inrichting vanuit het m<strong>en</strong>sbeeld<br />
dat medewerkers vooral de persoonlijke doel<strong>en</strong> (kunn<strong>en</strong>) nastrev<strong>en</strong>.<br />
Het d<strong>en</strong>k<strong>en</strong> over ‘control’ van <strong>IT</strong>-<strong>audit</strong>ors (RE) is veelal in lijn met dat van de RA, van<br />
oorsprong de grootste opdrachtgever van veel <strong>IT</strong>-<strong>audit</strong>ors. Deze zoek<strong>en</strong> naar mogelijkhed<strong>en</strong><br />
tot het automatiser<strong>en</strong> van beheersmogelijkhed<strong>en</strong>. Wanneer het systeem de Starreveldfunctiescheiding<strong>en</strong><br />
<strong>en</strong> –controles afdwingt, heeft het managem<strong>en</strong>t e<strong>en</strong> zorg minder. Kijk<strong>en</strong>d<br />
naar de beheersing van de <strong>IT</strong>-organisatie hanteert de RE overig<strong>en</strong>s veelal e<strong>en</strong> aanmerkelijk<br />
bredere focus. Dan wordt onderk<strong>en</strong>d dat de wijze van sam<strong>en</strong>werk<strong>en</strong>, stijl van leidinggev<strong>en</strong>,<br />
cultuuraspect<strong>en</strong>, verandervermog<strong>en</strong> etc. e<strong>en</strong> belangrijke invloed hebb<strong>en</strong> op de mate waarin<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
de beschrev<strong>en</strong> procedures word<strong>en</strong> nageleefd. Noem het e<strong>en</strong> verschil tuss<strong>en</strong> opzet <strong>en</strong><br />
werking.<br />
De <strong>operational</strong> <strong>audit</strong>or moet eerst nagaan hoe het (top)managem<strong>en</strong>t d<strong>en</strong>kt over de<br />
beheersing van het object. De inrichtingseis<strong>en</strong> vloei<strong>en</strong> daar logischer wijs uit voort. De<br />
informatie <strong>en</strong> betrouwbaarheid daarvan is dan slechts één van de onderzoeksobject<strong>en</strong>.<br />
Natuurlijk met de (betrouwbaarheids)eis<strong>en</strong> vanuit wet- <strong>en</strong> regelgeving als minimumnorm.<br />
Daarbij is het belangrijk te b<strong>en</strong>adrukk<strong>en</strong> dat het voor de manager (<strong>en</strong> dus voor de <strong>audit</strong>or)<br />
niet alle<strong>en</strong> gaat om de betrouwbaarheid, maar om alle van toepassing zijnde doel<strong>en</strong> <strong>en</strong><br />
kritieke succesfactor<strong>en</strong> van het object dat de <strong>operational</strong> <strong>audit</strong>or in beschouwing neemt. Juist<br />
de beheersing van mogelijk teg<strong>en</strong>strijdige doel<strong>en</strong> <strong>en</strong> hoe met die teg<strong>en</strong>strijdigheid om te<br />
gaan, is e<strong>en</strong> belangrijk aandachtspunt van de <strong>operational</strong> <strong>audit</strong>or.<br />
De verschill<strong>en</strong>de control frameworks hanter<strong>en</strong> vaak e<strong>en</strong> andere definitie <strong>en</strong> invulling van<br />
beheersing. Zo bestaan er belangrijke verschill<strong>en</strong> in de mate waarin aandacht wordt besteed<br />
aan de ‘s<strong>of</strong>t’ controls <strong>of</strong>wel de sociaal-organisatorische maatregel<strong>en</strong>, zoals de motivatie,<br />
cultuur <strong>en</strong> managem<strong>en</strong>tstijl. Hoewel deze aspect<strong>en</strong> vaak word<strong>en</strong> bestempeld als moeilijk<br />
meetbaar <strong>en</strong> daardoor leid<strong>en</strong>d tot subjectieve oordel<strong>en</strong>, weet iedere<strong>en</strong> hoe sterk deze<br />
‘zachte’ aspect<strong>en</strong> bepal<strong>en</strong>d zijn voor het goed functioner<strong>en</strong> van de organisatie. We zi<strong>en</strong> dan<br />
ook e<strong>en</strong> to<strong>en</strong>em<strong>en</strong>de belangstelling <strong>en</strong> integratie van deze aspect<strong>en</strong> in <strong>operational</strong> <strong>audit</strong>s.<br />
Vaak wordt door <strong>audit</strong>ors gebruik gemaakt van het COSO-model <strong>en</strong> het daarin opg<strong>en</strong>om<strong>en</strong><br />
‘Control Environm<strong>en</strong>t’. Wij merk<strong>en</strong> op dat deze criteria zich k<strong>en</strong>merk<strong>en</strong> door e<strong>en</strong> sterk<br />
instrum<strong>en</strong>tele b<strong>en</strong>adering van ‘s<strong>of</strong>t’ controls <strong>en</strong> vooral procedureel van aard zijn. Dit maakt<br />
het relatief makkelijk te <strong>audit</strong><strong>en</strong>, maar doet concessies aan ‘de werkelijkheid’. E<strong>en</strong> alternatief<br />
is meer inhoudelijk (<strong>en</strong> daarmee meer diepgaand) te kijk<strong>en</strong> naar de sociaal organisatorische<br />
controls. E<strong>en</strong> onderzoeksvraag kan dan bijvoorbeeld zijn: ‘is de stijl van leiding gev<strong>en</strong><br />
pass<strong>en</strong>d bij de aard van de tak<strong>en</strong>?’ <strong>of</strong> ‘is de managem<strong>en</strong>tstijl consist<strong>en</strong>t met de beoogde<br />
cultuur?’ In dat geval is het nodig om gebruik te mak<strong>en</strong> van theorieën uit andere<br />
vakgebied<strong>en</strong>, zoals uit de sociale wet<strong>en</strong>schapp<strong>en</strong>.<br />
Het (relatieve) belang van de diverse (technisch én sociaal organisatorische) controls is<br />
overig<strong>en</strong>s afhankelijk van het type organisatie, haar kritieke succesfactor<strong>en</strong> <strong>en</strong> de dynamiek<br />
waarin deze zich bevindt. In e<strong>en</strong> stabiele situatie zou de beheersing zich kunn<strong>en</strong> richt<strong>en</strong> op<br />
het afdekk<strong>en</strong> van bek<strong>en</strong>de risico’s door het met gedetailleerde procedures <strong>en</strong> richtlijn<strong>en</strong><br />
‘dichttimmer<strong>en</strong>’ van de organisatie. In e<strong>en</strong> onvoorspelbare, dynamische omgeving wordt<br />
echter meer flexibiliteit <strong>en</strong> verandervermog<strong>en</strong> vereist. In de eerste situatie kan de nadruk<br />
meer ligg<strong>en</strong> op technisch organisatorische controls, terwijl in de tweede situatie aandacht<br />
voor de sociaal organisatorische controls extra belangrijk zijn. Taakgerichte, gedetailleerde<br />
regelgeving is dan immers minder zinvol. Er moet voor de aansturing van medewerkers meer<br />
word<strong>en</strong> gesteund op meer abstracte, doelgerichte uitgangspunt<strong>en</strong>, waarbinn<strong>en</strong> de<br />
medewerkers zelf beslissing<strong>en</strong> nem<strong>en</strong>. 7<br />
In het algeme<strong>en</strong> kan word<strong>en</strong> gesteld dat het relatieve belang van sociaal organisatorische<br />
controls in de beheersing van de organisatie to<strong>en</strong>eemt. Dit komt door sociale ontwikkeling<strong>en</strong><br />
zoals het opleidingsniveau <strong>en</strong> de mate van ‘empowerm<strong>en</strong>t’ van medewerkers <strong>en</strong> de (hiervoor<br />
beschrev<strong>en</strong>) to<strong>en</strong>em<strong>en</strong>de complexiteit <strong>en</strong> dynamiek van de omgeving waarin organisaties<br />
operer<strong>en</strong>.<br />
7 Zie Hartog, P.A. <strong>en</strong> Korte, R.W.A. de (2003). ‘S<strong>of</strong>t controls, object van de <strong>audit</strong>or’ in Twintig over<br />
Internal/Operational Auditing, VERA/EURAC.<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
20/80 50/50 80/20<br />
Figuur 3: Relatieve belang van ‘hard’ <strong>en</strong> ‘s<strong>of</strong>t’ controls<br />
De <strong>en</strong>orme breedte van het (in de praktijk gehanteerde) begrip <strong>operational</strong> <strong>audit</strong>ing is<br />
aanleiding tot het gebruik van e<strong>en</strong> nieuwe term voor <strong>audit</strong>s die zich richt<strong>en</strong> op de gehele<br />
managem<strong>en</strong>t control cyclus (zie figuur 4): Managem<strong>en</strong>t Control Auditing 8 (MCA).<br />
Figuur 4: De managem<strong>en</strong>t control cyclus <strong>en</strong> <strong>audit</strong><br />
Door <strong>audit</strong> expliciet te positioner<strong>en</strong> buit<strong>en</strong> die managem<strong>en</strong>t control cyclus, wordt het<br />
managem<strong>en</strong>tproces als geheel object van onderzoek. Zo kan de <strong>audit</strong>or ook word<strong>en</strong><br />
gevraagd te beoordel<strong>en</strong> <strong>of</strong> de organisatiedoel<strong>en</strong> hebb<strong>en</strong> geleid tot adequate aanpassing<strong>en</strong> in<br />
8 Zie Paape, L. <strong>en</strong> Korte, R.W.A, de (1999). ‘Van Operational naar Managem<strong>en</strong>t Control Auditing?’ in De<br />
Accountant (oktober 1999).<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
de organisatie-inrichting, <strong>of</strong> signal<strong>en</strong> uit de evaluaties hebb<strong>en</strong> geleid tot voldo<strong>en</strong>de<br />
aanpassing<strong>en</strong> van de inrichting <strong>of</strong> de doel<strong>en</strong>. Het onderzoek<strong>en</strong> van de managem<strong>en</strong>t control<br />
cyclus betek<strong>en</strong>t kijk<strong>en</strong> naar het leer- <strong>en</strong> verandervermog<strong>en</strong> van de organisatie, rek<strong>en</strong>ing<br />
houd<strong>en</strong>d met de dynamiek van de omgeving. Zak<strong>en</strong> waar veel <strong>operational</strong> <strong>audit</strong>ors mogelijk<br />
nog niet volledig voor zijn geëquipeerd <strong>of</strong> door het managem<strong>en</strong>t nog niet voor word<strong>en</strong><br />
gevraagd. Wij zi<strong>en</strong> het echter als dé insteek om te kom<strong>en</strong> tot e<strong>en</strong> waardevolle ‘in control’verklaring.<br />
Het is bov<strong>en</strong>di<strong>en</strong> dé manier om <strong>audit</strong> op executive-niveau aan tafel te krijg<strong>en</strong>, in<br />
lijn met het <strong>audit</strong>beroep eig<strong>en</strong>e, <strong>en</strong> zonder je zorg<strong>en</strong> te hoev<strong>en</strong> mak<strong>en</strong> over de toegevoegde<br />
waarde van je acter<strong>en</strong> als <strong>audit</strong>or.<br />
4 Soort<strong>en</strong> <strong>audit</strong>s <strong>en</strong> de basis voor sam<strong>en</strong>werking<br />
De verschill<strong>en</strong>de soort<strong>en</strong> <strong>audit</strong>opdracht<strong>en</strong> globaal bezi<strong>en</strong> is het voor de <strong>audit</strong>or zeer<br />
bepal<strong>en</strong>d wie we als gebruiker van de <strong>audit</strong>uitkomst<strong>en</strong> voor og<strong>en</strong> hebb<strong>en</strong> (zie figuur 5).<br />
Figuur 5. Diverse soort<strong>en</strong> <strong>audit</strong>s<br />
Audits t<strong>en</strong> behoeve van het maatschappelijk verkeer, <strong>of</strong> het topmanagem<strong>en</strong>t die de<br />
uitkomst<strong>en</strong> gebruikt voor zijn stakeholders, k<strong>en</strong>merk<strong>en</strong> zich door algem<strong>en</strong>e toepasbaarheid;<br />
standaardisering. Voorbeeld<strong>en</strong> zijn de de jaarrek<strong>en</strong>ingcontrole <strong>en</strong> <strong>audit</strong>s naar de compliance<br />
met relevante regelgeving. Ook de op COSO-gebaseerde Sarbanes Oxley-normering<br />
(voorzover uitgewerkt) valt hieronder. Voor <strong>IT</strong>-<strong>audit</strong>s kan word<strong>en</strong> gedacht aan e<strong>en</strong> algeme<strong>en</strong><br />
statem<strong>en</strong>t over de kwaliteit van de informatiebeveiliging gebaseerd op de Code van<br />
Informatiebeveiliging <strong>of</strong> e<strong>en</strong> <strong>audit</strong> op basis van SAS70. E<strong>en</strong> voorbeeld van e<strong>en</strong> <strong>operational</strong><br />
<strong>audit</strong> is ook de beoordeling van ‘in control statem<strong>en</strong>ts’ van de diverse business units binn<strong>en</strong><br />
e<strong>en</strong> holding.<br />
Het is voor elk van deze <strong>audit</strong>s belangrijk dat aan de uitkomst<strong>en</strong> van elke <strong>audit</strong> die volg<strong>en</strong>s<br />
die normering is uitgevoerd dezelfde betek<strong>en</strong>is mag word<strong>en</strong> toegek<strong>en</strong>d. Wetgeving zoals<br />
Sarbanes Oxley <strong>en</strong> Tabaksblat do<strong>en</strong> dit type <strong>audit</strong>s in belang to<strong>en</strong>em<strong>en</strong>.<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
Aan de andere kant van het continuüm staan de specifieke, meer maatwerk-gerichte <strong>audit</strong>s:<br />
de opdrachtgever heeft e<strong>en</strong> concrete <strong>audit</strong>vraag geformuleerd, die op dat mom<strong>en</strong>t specifiek<br />
voor hem relevant is. Daarbij is de algem<strong>en</strong>e normering (indi<strong>en</strong> relevant) hoogst<strong>en</strong>s te zi<strong>en</strong><br />
als minimumnormering, die moet zijn geïncorporeerd in de normering die voor die specifieke<br />
<strong>audit</strong> geldt. Juist hier ervaart het (lagere) managem<strong>en</strong>t de toegevoegde waarde van de<br />
<strong>audit</strong>ors, door het toegesned<strong>en</strong> zijn van de <strong>audit</strong> op de eig<strong>en</strong> specifieke k<strong>en</strong>nisbehoefte<br />
Natuurlijk zijn in dit continuüm vele voorbeeld<strong>en</strong> te bed<strong>en</strong>k<strong>en</strong> die in de ruimte tuss<strong>en</strong> deze<br />
uiterst<strong>en</strong> te plaats<strong>en</strong> zijn. De beoordeling van de mate waarin dec<strong>en</strong>trale organisaties zich,<br />
onder toepassing van integraal managem<strong>en</strong>t, houd<strong>en</strong> aan de ‘tight controls’ vanuit het<br />
ho<strong>of</strong>dkantoor, is e<strong>en</strong> vorm van <strong>audit</strong> die dicht teg<strong>en</strong> de standaard <strong>audit</strong>s aan ligt <strong>en</strong> e<strong>en</strong><br />
belangrijk onderdeel uitmaakt van het <strong>audit</strong>jaarplan van ondermeer de grote financiële<br />
instelling<strong>en</strong>.<br />
Bov<strong>en</strong>g<strong>en</strong>oemd onderscheid tuss<strong>en</strong> standaard <strong>en</strong> maatwerk heeft belangrijke implicaties<br />
voor de sam<strong>en</strong>werking tuss<strong>en</strong> de <strong>IT</strong>- <strong>en</strong> <strong>operational</strong> <strong>audit</strong>or. Daarbij kan het uitvoer<strong>en</strong> van<br />
beide soort<strong>en</strong> <strong>audit</strong>s de <strong>audit</strong>-afdeling in e<strong>en</strong> spagaat br<strong>en</strong>g<strong>en</strong>. Beide stell<strong>en</strong> verschill<strong>en</strong>de<br />
eis<strong>en</strong> aan de bem<strong>en</strong>sing van de <strong>audit</strong>afdeling. Slechts e<strong>en</strong> multidisciplinair bem<strong>en</strong>ste<br />
<strong>audit</strong>groep kan goed met deze spagaat omgaan. Wij zull<strong>en</strong> dat nader toelicht<strong>en</strong>.<br />
Audits in de hoek van ‘standaardvrag<strong>en</strong> t<strong>en</strong> behoeve van de vergelijkbaarheid’ k<strong>en</strong>merk<strong>en</strong><br />
zich door e<strong>en</strong> opgelegde algem<strong>en</strong>e, relatief globale normering <strong>en</strong> e<strong>en</strong> voorgeschrev<strong>en</strong><br />
onderzoeksaanpak. Deze onderzoeksaanpak laat weinig ruimte voor onderscheid naar<br />
situationele uitwerking<strong>en</strong> gericht op specifieke organisatiebehoeft<strong>en</strong>. Het ‘oppervlakkige’ in<br />
deze onderzoek<strong>en</strong> maakt dat relatief beperkt opgeleide <strong>audit</strong>ors het veldwerk kunn<strong>en</strong> do<strong>en</strong><br />
<strong>en</strong> er vaak ge<strong>en</strong> noodzaak zal zijn voor e<strong>en</strong> <strong>audit</strong>team dat meerdere specialism<strong>en</strong> herbergt.<br />
Voor de relatie <strong>en</strong> sam<strong>en</strong>werking tuss<strong>en</strong> de <strong>operational</strong> <strong>audit</strong>or <strong>en</strong> de <strong>IT</strong>-<strong>audit</strong>or betek<strong>en</strong>t dit<br />
het volg<strong>en</strong>de. Beide do<strong>en</strong> het werk dat ze zelfstandig prima kunn<strong>en</strong> <strong>of</strong> lat<strong>en</strong> zich als<br />
onderaannemer inschakel<strong>en</strong> daar waar de ho<strong>of</strong>daannemer e<strong>en</strong> specifieke opdracht uit moet<br />
bested<strong>en</strong>. In lijn met de g<strong>en</strong>oemde ontwikkeling<strong>en</strong> zal de ho<strong>of</strong>daannemer in veel gevall<strong>en</strong> de<br />
accountant zijn. Kortom, de <strong>IT</strong>-<strong>audit</strong>or <strong>en</strong> <strong>operational</strong> <strong>audit</strong>or kunn<strong>en</strong> op deze wijze, zonder<br />
verwondering, naast elkaar bestaan. Beide hebb<strong>en</strong> hun eig<strong>en</strong>, separate toegevoegde<br />
waarde.<br />
De maatwerkonderzoek<strong>en</strong> k<strong>en</strong>merk<strong>en</strong> zich echter door de noodzaak dat de <strong>audit</strong>or zich diep<br />
inleeft in de situatie <strong>en</strong> specifieke problematiek van de opdrachtgever <strong>en</strong> <strong>audit</strong>ee. Alle<strong>en</strong> dan<br />
kunn<strong>en</strong> de <strong>audit</strong>or <strong>en</strong> de opdrachtgever kom<strong>en</strong> tot de meest pass<strong>en</strong>de onderzoeksvraag <strong>en</strong><br />
–aanpak. Om op voorhand niet de fout te mak<strong>en</strong> dat de k<strong>en</strong>nis van de <strong>audit</strong>or bepaalt welk<br />
probleem hij onderk<strong>en</strong>t, zal bij voorkeur reeds bij de opdrachtverk<strong>en</strong>ning sprake moet<strong>en</strong> zijn<br />
van e<strong>en</strong> multidisciplinair sam<strong>en</strong>gesteld <strong>audit</strong>team. Afhankelijk van de onderzoeksvraag is<br />
vervolg<strong>en</strong>s meer <strong>of</strong> minder specialisme noodzakelijk. De <strong>IT</strong>-<strong>audit</strong>or <strong>en</strong> <strong>operational</strong> <strong>audit</strong>or<br />
moet<strong>en</strong> dus sam<strong>en</strong> optrekk<strong>en</strong>. Zij di<strong>en</strong><strong>en</strong> aan deze zijde van het continuüm e<strong>en</strong> grote<br />
bereidheid tot sam<strong>en</strong>werking én k<strong>en</strong>nis van elkaars vakgebied te hebb<strong>en</strong> om aan het<br />
verzoek van de opdrachtgever te kunn<strong>en</strong> voldo<strong>en</strong>.<br />
Anders gezegd, het gaat bij de <strong>audit</strong> om het verminder<strong>en</strong> van onzekerheid bij de<br />
opdrachtgever. Of we de <strong>audit</strong> dan (meer specifiek) aanduid<strong>en</strong> als <strong>operational</strong> <strong>of</strong> als <strong>IT</strong>-<strong>audit</strong><br />
is voor de opdrachtgever niet interessant; de voor de <strong>audit</strong> b<strong>en</strong>odigde k<strong>en</strong>nis bepaalt de<br />
<strong>audit</strong>-teamsam<strong>en</strong>stelling. Mogelijk moet er k<strong>en</strong>nis word<strong>en</strong> georganiseerd die noch de <strong>IT</strong>-<br />
noch de Operational <strong>audit</strong>or bezit. Zodra de beheersmaatregel<strong>en</strong> word<strong>en</strong> beïnvloed door<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
informatietechnologie <strong>of</strong> ook betrekking hebb<strong>en</strong> op de <strong>IT</strong>-beheer- <strong>of</strong> <strong>IT</strong>-ontwikkelorganisatie,<br />
is specifieke <strong>IT</strong>-k<strong>en</strong>nis echter snel onontbeerlijk.<br />
De <strong>IT</strong>-<strong>audit</strong>or kan hier dan ook niet volstaan met standaard <strong>IT</strong>-<strong>audit</strong> aanpakk<strong>en</strong> <strong>en</strong> –<br />
normering. De normering di<strong>en</strong>t te word<strong>en</strong> afgeleid van de ondernemingsdoelstelling<strong>en</strong>. Dat<br />
was reeds de insteek van de <strong>operational</strong> <strong>audit</strong>or, waardoor deze mogelijk de ‘lead’ dacht te<br />
nem<strong>en</strong> 9 . Noodzakelijk is dat echter allerminst; ook <strong>IT</strong>-<strong>audit</strong>ors zi<strong>en</strong> we steeds meer vanuit<br />
deze insteek red<strong>en</strong>er<strong>en</strong>.<br />
Daarbij speelt de vraag <strong>of</strong> de sociaal organisatorische controls wel ruimte bied<strong>en</strong> voor de<br />
vaak ‘op Starreveld c.s. gebaseerde’ <strong>IT</strong>-controls. Positief geformuleerd: <strong>of</strong> de werking van<br />
deze ‘s<strong>of</strong>t’ controls, zoals medewerker-motivatie <strong>of</strong> teamworking, <strong>en</strong>kele ‘harde’ <strong>IT</strong>-controls<br />
niet onnodig mak<strong>en</strong>, t<strong>en</strong> gunste van flexibiliteit, leer- <strong>en</strong> verandervermog<strong>en</strong>.<br />
Verder concluder<strong>en</strong> wij dat met name in deze maatwerkhoek zeer goede beheersing van<br />
<strong>audit</strong>methodologie (als hulpmiddel voor het ontwerp<strong>en</strong> van <strong>audit</strong>s) vereist is. Er kan immers<br />
niet word<strong>en</strong> gesteund op reeds eerder zorgvuldig ontworp<strong>en</strong> onderzoeksaanpakk<strong>en</strong> om de<br />
relevantie, deugdelijkheid <strong>en</strong> de doelmatigheid van de <strong>audit</strong> te waarborg<strong>en</strong>. Het is e<strong>en</strong><br />
geruststelling te constater<strong>en</strong> dat <strong>audit</strong>methodologie aan opleiding<strong>en</strong> van zowel de <strong>IT</strong>- als de<br />
<strong>operational</strong> <strong>audit</strong>-beroepsgroep<strong>en</strong> in to<strong>en</strong>em<strong>en</strong>de mate wordt gedoceerd.<br />
U heeft nog het antwoord op de vraag in de titel van deze bijdrage te goed.<br />
<strong>IT</strong>-<strong>audit</strong> <strong>en</strong> <strong>operational</strong> <strong>audit</strong>: MATEN, met nadrukkelijk <strong>en</strong>kele eig<strong>en</strong><br />
verantwoordelijkheidsgebied<strong>en</strong><br />
9 Zie Hartog, P.A. <strong>en</strong> Nieuw<strong>en</strong>dijk, M. (1999) Operational Auditing <strong>en</strong> <strong>IT</strong>-Auditing,toch minimaal e<strong>en</strong> LAT-relatie<br />
…’ in De Accountant (december 1999)<br />
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl
Auditing & Consulting Services Arnhemsebov<strong>en</strong>weg 40 3971 MK Drieberg<strong>en</strong> Tel 0343 -<br />
524 111 Info@acs.nl www.acs.nl www.<strong>audit</strong>ing.nl www.programmemanagem<strong>en</strong>t.eu<br />
www.kadplus.nl