Een optimaal model van de inrichting van een interne audit ... · PDF file2 Management...

Een optimaal model van de inrichting

van een interne audit functie,

gegeven het onderscheid tussen

IT en operational auditing

Afstudeerscriptie voor de Post-graduate IT Audit opleiding, aan de Vrije Universiteit te Amsterdam Opstellers: T. Tjeerdsma en M. Blokker Scriptienummer: 804 Scriptiebegeleider: Jan van Praat RE RA Bedrijfsbegeleider: Ing Yan Ong RE Datum: 25-03-08

1

Inhoudsopgave

MANAGEMENT SAMENVATTING ............................................................................................................................... 2

2 AUDITING IN HET ALGEMEEN ......................................................................................................................... 5

2.1 INLEIDING................................................................................................................................................................. 5 2.2 SOORTEN AUDITS ..................................................................................................................................................... 5

2.3 UITVOERING VAN DE AUDIT ..................................................................................................................................... 6

2.4 DE AUDITOR ............................................................................................................................................................. 8 2.5 TOT SLOT .................................................................................................................................................................. 9

3 IT AUDITING ........................................................................................................................................................ 10

3.1 INLEIDING............................................................................................................................................................... 10 3.2 SOORTEN IT AUDITS ............................................................................................................................................... 11

3.3 UITVOERING VAN DE IT AUDIT ............................................................................................................................... 11 3.4 DE IT AUDITOR ....................................................................................................................................................... 13

3.5 TOT SLOT ................................................................................................................................................................ 15

4 OPERATIONAL AUDITING ............................................................................................................................... 16

4.1 INLEIDING............................................................................................................................................................... 16 4.2 SOORTEN OPERATIONAL AUDITS ............................................................................................................................ 17 4.3 UITVOERING VAN DE OPERATIONAL AUDIT ............................................................................................................ 17 4.4 DE OPERATIONAL AUDITOR .................................................................................................................................... 19

4.5 TOT SLOT ................................................................................................................................................................ 21

5 HET VERSCHIL EN DE OVEREENKOMSTEN TUSSEN IT EN OPER ATIONAL AUDITING ............. 22

5.1 INLEIDING............................................................................................................................................................... 22 5.2 OBJECTEN VAN ONDERZOEK ................................................................................................................................... 22

5.3 ASPECTEN .............................................................................................................................................................. 23 5.4 NORMEN ................................................................................................................................................................. 24 5.5 AUDIT FASES .......................................................................................................................................................... 25 5.6 DE AUDITOR ........................................................................................................................................................... 26 5.7 TOT SLOT ................................................................................................................................................................ 28

6 RESULTATEN PRAKTIJKONDERZOEK ........................................................................................................ 29

6.1 INLEIDING............................................................................................................................................................... 29 6.2 VRAGENLIJST INTERVIEWS ..................................................................................................................................... 29

6.3 RESULTATEN PRAKTIJKONDERZOEK ....................................................................................................................... 29 6.4 TOT SLOT ................................................................................................................................................................ 32

7 CONCLUSIES EN AANBEVELINGEN ............................................................................................................. 34

7.1 INLEIDING............................................................................................................................................................... 34 7.2 CONCLUSIES ........................................................................................................................................................... 34 7.3 AANBEVELING ........................................................................................................................................................ 35

8 EVALUATIE .......................................................................................................................................................... 36

LITERATUURLIJST ........................................................................................................................................................ 37

BIJLAGEN ......................................................................................................................................................................... 38

A VRAGENLIJST ......................................................................................................................................................... 38

B UITGEBREIDE RESULTATEN PRAKTIJKONDERZOEK ................................................................................................. 39

2

Management samenvatting Deze scriptie geeft antwoord op de vraag wat het optimale model is van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid in uitvoering van IT en operational audits. Om deze vraag te beantwoorden hebben wij twee subvragen geformuleerd. Deze luidden:

1. “Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en overeenkomsten bestaan er hier tussen?”;

2. “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.

Voor de beantwoording van de eerste subvraag hebben wij een literatuuronderzoek uitgevoerd naar de aspecten die een rol spelen bij de uitvoering van een audit. Hieruit kwamen de volgende algemene aspecten naar voren: de objecten, de normen, de kwaliteitsaspecten en de door de beroepsorganisaties gestelde eisen aan auditors. Bestudering van deze algemene aspecten leerde ons dat deze zowel verschillen als overeenkomsten vertonen bij IT auditing en operational auditing. De overeenkomsten zijn echter aanzienlijk groter dan de verschillen. De overeenkomsten hadden betrekking op de objecten van onderzoek, de aspecten verbonden aan deze objecten, de audit fases en een groot aantal van de eisen aan de auditors. De verschillen betroffen de algemene normenkaders, de benaming en invulling van een tweetal eisen vanuit de beroepsorganisaties en de optiek van waaruit het object van onderzoek wordt benaderd. Hoewel zowel IT als operational auditing naar de beheersing binnen de organisatie kijken, benaderd IT auditing dit namelijk vanuit het oogpunt van de informatiesystemen en operational auditing vanuit het oogpunt van de organisatie in het algemeen. De tweede subvraag hebben wij beantwoord aan de hand van een praktijkonderzoek. Op basis van de resultaten op de eerste subvraag hebben wij een vragenlijst opgesteld. Deze hebben wij afgenomen bij een organisatie met én bij een organisatie zonder scheiding tussen IT en operational auditing functies. Hieruit kwam naar voren dat met name het verschil in de optiek van waar uit de audit objecten worden getoetst invloed heeft op de inrichting van de interne audit functie, meer in het bijzonder op het maken van een onderscheid tussen IT en operational auditors. Daarnaast bleek het niet uit te maken hoe de IT en operational auditors binnen een organisatie zijn ingedeeld, namelijk in één team opererend of niet. Voor onze hoofdvraag betekenen deze uitkomsten dat gegeven het onderscheid tussen IT en operational auditing een separate positionering van IT en operational auditors niet noodzakelijk is. Vanuit de behoefte aan een totaal benadering van risicobeheersing vullen de twee typen auditors elkaar juist goed aan met hun verschillende benaderingswijze van de onderzoeksobjecten. Een expliciete uitspraak over een optimaal model van inrichting van audit functies hebben wij niet kunnen doen aangezien factoren als type en de omvang van de organisatie een mogelijke rol bleken te spelen.

3

1 Inleiding en onderzoeksvraag Interne audit organisaties kunnen op verschillende manieren zijn georganiseerd. Zij kunnen verschillen in het soort audits die ze willen (laten) uitvoeren, in de wijze waarop zij de verschillende disciplines binnen hun eigen organisatie hebben gestructureerd, en zij kunnen verschillen in de eisen die ze dientengevolge aan hen auditors stellen. Zo zijn er organisaties die van hun interne auditors verwachten dat ze zowel financial, IT als operational audits uitvoeren. Maar er zijn ook audit organisaties die voor ieder audit discipline specialisten in huis hebben, die zij in meer of mindere mate met elkaar laten samenwerken. Uit onderzoek van Paape (Paape, 2005) is ook gebleken dat de omvang van een interne audit organisatie verschilt per type bedrijfsvoering en per grote van de organisatie. Zo hebben grotere bedrijven meer auditors in dienst, hebben Telecom, IT en Media bedrijven gemiddeld 7 fte voor audit beschikbaar, Openbare diensten 29 fte en Financiële dienstverleners 66 fte. De centrale audit afdeling van ABN AMRO Bank bestaat wereldwijd uit circa 900 fte. Binnen de centrale audit afdeling van ABN AMRO Bank (“Group Audit”) is er organisatorisch een onderscheid gemaakt tussen IT en operational audit, en binnen de centrale IT audit afdeling tussen technical en system audit teams. Zowel de operational als de system auditors zijn ingedeeld in teams die de organisatiestructuur van ABN AMRO volgen. De technical auditors daarentegen vormen één algemeen team dat zich richt op de centrale IT organisatie en de algemene ondersteunende IT systemen. De operational auditors voeren audits uit naar de beheersing van de organisatieprocessen binnen de aan hen toegewezen bedrijfsonderdelen en de system auditors naar de beheersing van de door deze bedrijfsonderdelen gebruikte systemen. De technical auditors voeren onderzoeken uit naar de beheersing van de beheerprocessen binnen de IT organisatie, de infrastructurele IT systemen en de General IT Controls. Dit organisatorische onderscheid leidt ertoe dat het optimaal afstemmen van de auditdekking, namelijk het zodanig plannen en afbakenen van de audits, waarbij de te controleren omgeving zo effectief en efficiënt mogelijk wordt afgedekt en de auditee zo min mogelijk wordt belast, een lastig proces is. Immers, de audit objecten van de groepen operational, technical en system auditors zijn niet los van elkaar te zien en lopen vaak zelfs geruisloos in elkaar over. Om een goed oordeel over de kwaliteit van de beheersing van de organisatieprocessen te kunnen geven moeten de operational auditors ook kijken naar aspecten die een sterke IT component hebben, zoals de toegangbeveiliging. De system auditors kunnen op hun beurt de beheersingsmaatregelen die in de systemen zijn ingebracht, de zogenaamde applicatieve beheersingsmaatregelen, niet los zien van de organisatieprocessen die zij ondersteunen. Bovendien zullen de system auditors ook aandacht moeten besteden aan aspecten als de aansluiting van de applicaties op de infrastructurele systemen en de General IT Controls voor deze systemen. Aspecten waar ook de technical auditors een oordeel over geven. Aangezien ABN AMRO waarschijnlijk niet de enige organisatie is die met de hierboven geschetste knelpunten te maken heeft, willen wij met deze scriptie inzicht geven in aspecten die bijdragen aan een optimale inrichting van een interne audit functie gegeven het onderscheid tussen IT en operational auditing. In deze richtlijn zullen wij in ieder geval aandacht besteden aan aspecten die nodig zijn om het operationele proces van auditing uit te voeren, zoals de afbakening van de objecten, het bepalen van de normen en de eisen die gesteld worden aan de auditors. Deze scriptie zal derhalve de vorm hebben van een onderzoek binnen diverse interne audit organisaties, om op basis hiervan randvoorwaarden voor succes af te leiden. Hoewel er meer soorten audits zijn zoals financial, compliance, forensic, IT en operational auditing zullen wij ons alleen op de laatste twee richten. Naar aanleiding van bovenstaande situatie zijn wij tot de volgende onderzoeksvraag gekomen: “Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid tussen IT en operational auditing?” De subvragen die wij bij het beantwoorden van de hoofdvraag behandelen, zijn:



4

Binnen onze scriptie vormt de eerste subvraag de kern van ons onderzoek. Om deze eerste subvraag te beantwoorden zijn wij door middel van een literatuurstudie dieper ingegaan op de uitvoering van audits in het algemeen en die van IT en operational auditing in het bijzonder. Wij hebben ons daarbij gericht op de diverse soorten audits die onderscheiden kunnen worden, de algemene aspecten die een rol spelen bij de daadwerkelijk uitvoering van een audit en op de uitvoerder van de audit, de auditor. Deze onderdelen hebben wij behandeld in Hoofdstuk 2 (Auditing in het algemeen), Hoofdstuk 3 (IT auditing) en Hoofdstuk 4 (Operational auditing). Aan de hand van een vergelijking van de uitkomsten in deze drie hoofdstukken, hebben wij vervolgens de verschillen en overeenkomsten tussen aspecten die een rol spelen bij de uitvoering van IT en operational audits in beeld gebracht (Hoofdstuk 5). Voor de beantwoording van de tweede subvraag hebben wij een praktijkonderzoek uitgevoerd. Hiervoor hebben wij een vragenlijst opgesteld, welke mede is gebaseerd op verschillen en overeenkomsten tussen IT en operational auditing zoals opgenomen in Hoofdstuk 5. Deze vragenlijst hebben wij afgenomen bij twee interne audit organisaties, namelijk één met en één zonder gescheiden IT en operational audit functies. De opzet en de resultaten van het onderzoek zijn uitgewerkt in Hoofdstuk 6. Aan de hand van de resultaten van de literatuurstudie en de uitkomsten van het praktijkonderzoek, hebben wij tenslotte geprobeerd tot een antwoord te komen op de hoofdvraag. Namelijk wat het optimale model van inrichting van de interne audit functie is, gegeven het onderscheid in uitvoering van IT en operational audits. Dit antwoord wordt uitgewerkt in Hoofdstuk 7 (Conclusies en aanbevelingen).

5

2 Auditing in het algemeen

2.1 Inleiding In dit hoofdstuk zullen wij ten behoeve van de beantwoording van de eerste subvraag dieper ingaan op de aspecten die een rol spelen bij de uitvoering van audits in het algemeen en op de eisen die worden gesteld aan de auditors. Voordat we daartoe overgaan, zullen we echter eerst aandacht besteden aan de diverse soorten audits die onderscheiden kunnen worden. Bij het lezen van personeelsadvertenties valt namelijk op dat de term ‘auditing’ voor verschillende soorten onderzoeken wordt gebruikt. Voor een kwaliteitsmeting (een kwaliteitsaudit), een milieukundig onderzoek (een milieu audit), een jaarrekening controle (financial audit) of een onderzoek naar het niveau van informatiebeveiliging (IT audit). Hoewel de onderzoeksobjecten verschillen, hebben al deze benamingen als gemeenschappelijk kenmerk dat ze gericht zijn op de uitvoering van een onderzoek welke als doel heeft het geven van een oordeel over dat object. Dit blijkt ook uit de omschrijving van De Korte (2004) van het vakgebied auditing: “Een onderzoek naar de overeenkomsten tussen de waargenomen werkelijkheid en de vooraf gedefinieerde norm met als doel het geven van een oordeel aan de opdrachtgever”. Door het uitvoeren van een audit, kan de onzekerheid gereduceerd worden over de beheersing (van de organisatie) van het onderzoeksobject.

2.2 Soorten audits

2.2.1 Financial, IT en operational audits De behoefte aan auditing is ontstaan vanuit de behoefte van organisaties en het maatschappelijk verkeer aan onafhankelijke controle. Binnen de diverse audit vormen is die van financial auditing, ofwel accountancy, de oudste. Naast de controle van de jaarcijfers, kijkt zij tevens naar de wijze waarop de administratieve processen de betrouwbaarheid van die jaarcijfers kunnen garanderen. Vanuit financial auditing zijn de andere vormen van auditing ontstaan. Zo komt IT, of EDP, auditing voort uit het toenemende gebruik van geautomatiseerde systemen binnen de administratie en de algemene bedrijfsprocessen. Omdat het voor de accountant steeds belangrijker werd dat hij ook kon vertrouwen op de betrouwbaarheid en integriteit van de systemen, ontstond de behoefte aan controle van de systemen. Operational auditing kent haar oorsprong meer vanuit de bedrijfskunde en richt zich met name op de doorlichting van de interne organisatie van een onderneming en de algemene procesbeheersing. Vanuit de behoefte aan het “in control” zijn, biedt operational auditing het management ondersteuning bij de beheersing van de bedrijfsprocessen.

2.2.2 Product- en procesaudits Bij een productaudit is een product, resultaat of uitkomst van een proces het object van onderzoek en bij een procesaudit een proces gericht op de totstandkoming van een product (Kocks, 2003). Productaudits worden ook wel resultaataudits genoemd en procesaudits ook wel systeem- of organisatieaudits. Hartog en Van der Kerk (1999) beschrijven het onderscheid tussen deze twee soorten audits door te zeggen dat in een systeemaudit wordt gekeken naar de maatregelen die de kwaliteit van de uitkomsten moeten waarborgen en in een resultaataudit naar de kwaliteit van de uitkomsten zelf. Een voorbeeld van een productaudit is dan een (operational) audit van een milieuverslag of een (IT) audit van een applicatie en een voorbeeld van een procesaudit een (operational en IT) audit naar het stelsel van beheersingsmaatregelen binnen een organisatie. Dat het echter moeilijk is een duidelijk onderscheid te maken tussen een producten procesaudit, geeft Kocks (2003) naar onze mening terecht aan door te zeggen dat de blauwdruk van een proces in feite ook een product is en er derhalve ook bij een procesaudit sprake is van een productaudit. Ondanks deze in elkaar overlopende definities van een proces- en productaudits, zullen wij in het vervolg van deze scriptie toch het onderscheid tussen deze twee soorten audits terug laten komen, en wel conform de in de vorige paragraaf gegeven typeringen.

6

2.2.3 Interne en externe audits Binnen auditing valt nog een ander onderscheid te maken, namelijk tussen interne en externe audits waarbij interne audits door de organisatie zelf worden uitgevoerd en externe audits door een externe partij. Vroeger waren externe audits met name gericht op het uitvoeren van financial audits en interne audits op IT en operational audits. Dit kwam voort vanuit de behoefte van organisaties om de interne processen dusdanig te beheersen en te controleren, dat op het moment dat de externe controle plaatsvond geen noemenswaardige afwijkingen aan het licht zouden komen. Momenteel richten zowel interne als externe audits zich op financial, IT en operational audits. Een ander veel gehanteerde term is internal auditing. Hoewel ze qua benaming sterk op elkaar lijken, zijn interne en internal auditing echter niet exact hetzelfde. Daar waar internal auditing vaak in één adem wordt genoemd met operational auditing, vallen zoals we hierboven al zagen onder interne auditing ook financial en IT audits. Dat internal auditing meer neigt naar operational auditing, komt ook tot uiting in de definitie van internal auditing van de Institute of Internal Auditors: “Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes”. Om verwarring te voorkomen zullen wij in deze scriptie daarom het begrip internal auditing niet hanteren, maar spreken over interne en operational auditing. Aangezien deze scriptie zich specifiek richt op IT en operational audit functies binnen interne audit organisaties, zullen wij ons in het vervolg van deze scriptie nog alleen op deze twee audit vormen richten en financial auditing verder buiten beschouwing laten.

2.3 Uitvoering van de audit

2.3.1 Objecten van onderzoek Met een audit wordt een oordeel gegeven over het object van onderzoek, bijvoorbeeld een IT systeem bij een IT audit of een bedrijfsproces bij een operational audit. Van het object kan achtereenvolgens worden gekeken naar de opzet, het bestaan en de werking. Met de toetsing van de opzet wordt een oordeel gegeven over de aard van het object. Met andere woorden, over alle kenmerken die maken dat het object is zoals het is. Zodra de opzet is vastgesteld, kan worden getoetst of de feitelijke situatie op dat moment ook in overeenstemming is met die opzet. Dit betreft de toetsing van het bestaan van het object. Indien er wordt gekeken naar het functioneren van het object over een langere periode, betreft het de toetsing van de werking van dat object.

2.3.2 Aspecten Bij het toetsen van de opzet, het bestaan en de werking van een object spelen de aspecten (de kwaliteitsaspecten) en de normen van waaruit wordt getoetst een belangrijke rol. Aangezien dit universele facetten van een onderzoek zijn, geldt dit bij alle soorten audits. Echter, de aard van de kwaliteitsaspecten waarover een oordeel wordt uitgesproken en de normen waaraan wordt getoetst, kunnen natuurlijk wel per object en daarmee per type audit verschillen. Daarnaast is het van belang de kwaliteitsaspecten duidelijk te definiëren en te verklaren. Kwaliteitsaspecten kunnen uiteen vallen in subaspecten. Als er sprake is van subaspecten zal bepaald moeten worden hoe de subaspecten onderling samenhangen en bijdragen tot het gekozen kwaliteitsaspect. De kwaliteitsaspecten kunnen in bepaalde gevallen in verband worden gebracht met het verschil tussen product en proces audits. Bepaalde kwaliteitsaspecten kunnen namelijk wel gelden voor een proces maar niet voor een product, en vice versa.

2.3.3 Normen Om een audit te kunnen uitvoeren zijn normen noodzakelijk. Normen zijn nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Normen kunnen worden ontleend aan zowel interne als externe bronnen. Interne bronnen zijn bijvoorbeeld de binnen de organisatie geldende regels en procedures. Externe bronnen kunnen de binnen een vakgebied geaccepteerde wetten en regels zijn en de in afgesloten contracten opgenomen bepalingen (VU, 2006). Echter, normen kunnen zowel objectief als subjectief

7

zijn. Objectieve normen zijn gebaseerd op algemeen aanvaarde en geldende theorieën. Subjectieve normen worden bepaald door een persoon of een groep en zijn derhalve niet geheel vrij van persoonlijke beïnvloeding. De normen die tijdens een audit worden gebruikt dienen altijd objectief te zijn. Vervolgens kan er binnen de (objectieve) normen onderscheidt gemaakt worden tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de uitvoering van een audit. Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld (Van Praat en Suerink, 2004). Hierbij kan worden gedacht aan wettelijke normen, richtlijnen en aanbevelingen. Behalve de voorgaande normen kan er ook onderscheid gemaakt worden tussen productnormen en procesnormen. Productnormen zijn de criteria waaraan een product moet voldoen. Procesnormen worden op het niveau gehanteerd van het proces waar een individueel product wordt gerealiseerd.

2.3.4 Audit fases Iedere type audit, of het nu bijvoorbeeld een IT of een operational audit is, kent een aantal fases. Er zijn verschillende modellen waarin deze fases worden uitgewerkt. Een overzichtelijk model is het zes stappenmodel van Driessen en Molenkamp (2004), dat er als volgt uit ziet:

Figuur 1: Zes stappenmodel van Driessen en Molenkamp Binnen dit model kunnen de zes stappen volgens hen niet los van elkaar worden gezien. Ze lopen in elkaar over en terugkoppelingen zijn altijd mogelijk als gevolg van bepaalde bevindingen. Alleen ten aanzien van veldwerk en rapportage moet volgens Driessen en Molenkamp voorzichtigheid worden betracht ten aanzien van het hanteren van een dergelijk iteratief proces. Hieronder volgt een beschrijving van de zes stappen zoals zij die definiëren: De planningsfase begint volgens hen met het audit jaarplan. Daarin moet in ieder geval worden aangegeven wat de objecten van onderzoek zullen zijn, wie de auditee is, wat de audit doelstellingen zullen zijn, wanneer de audits moet worden uitgevoerd en welke audit capaciteit zal moeten worden aangewend. Op basis van dit jaarplan wordt vervolgens voor iedere afzonderlijke audit een gedetailleerde audit plan opgesteld, waarin voor die audit wordt uitgewerkt hoe de auditors de audit zullen uitvoeren. Dit audit plan is gebaseerd op het jaarplan, de uitkomsten van desk research en de reeds aanwezige kennis en ervaring met het object van onderzoek. In de vooronderzoekfase verzamelen de auditors informatie over het geldende beleid van de organisatie, de aan het object te stellen eisen en de kaderstellingen zoals regelgeving en systemen. Het gaat hierbij dus om zowel algemene, organisatie gerichte informatie (bijv. organisatieschema en de centrale regels) als om object specifieke informatie (bijv. functie-, producten systeembeschrijvingen, rapportages, procedures en contracten). Uit de verzamelde gegevens moeten bovendien die maatstaven en maatregelen worden geselecteerd die iets zeggen over de te verwachten kwaliteit van beheersing van het onderzoeksobject, en die de normen vormen voor het management. Normen die de auditor kan gebruiken voor zijn oordeelsvorming. Met behulp van deze verzamelde informatie kan de auditor ook zelf een referentiemodel opstellen, waarin hij de gewenste beheersingssituatie van het onderzoeksobject schetst. Dit model moet wel met het management worden afgestemd voordat het veldwerk begint. Een ander onderdeel van de vooronderzoekfase betreft volgens Driessen en Molenkamp de aankondiging van de audit. Hiermee worden de proceseigenaar, het betrokken management en de medewerkers op de hoogte gesteld van de inhoud en de doorlooptijd van de geplande audit. Voor deze fase moet voldoende tijd worden vrijgemaakt, aangezien de resultaten hiervan (namelijk inzicht in doelstellingen en uitgangspunten en een normenkader) noodzakelijk zijn om de volgende fase, het veldwerk, te kunnen starten.

Vooronder-zoek

Veldwerk Evaluatie

Rapportage Follow-up

Planning

8

De veldwerkfase bestaat volgens hen uit alle activiteiten gericht op het verzamelen van gegevens. Gegevens die de auditor nodig heeft om bevindingen te kunnen formuleren (een beschrijving van de aangetroffen situatie ten opzichte van de norm) en conclusies en aanbevelingen ter verbetering te kunnen doen. Onderzoeksmiddelen die kunnen worden gebruikt zijn het inwinnen van inlichtingen, het opvragen van bewijsstukken en andere vastleggingen en het doen van eigen waarnemingen. In de rapportagefase wordt eerst een conceptversie van het audit rapport opgesteld. Deze bevat de bevindingen, de conclusies en de aanbevelingen uit de veldwerkfase. Vervolgens wordt het conceptrapport besproken met de auditees, de proceseigenaar en de opdrachtgever. Tijdens deze bespreking wordt vastgesteld of de bevindingen van de auditors correct en volledig zijn en of de aanbevelingen worden gedragen door het management. Na deze bespreking wordt het definitieve audit rapport opgesteld. Dit rapport zal ook een oordeel bevatten over de aangetroffen kwaliteit van beheersing, welke vaak een optelsom is van oordelen over de afzonderlijke bevindingen, en een actieplan voor het management. Tijdens de evaluatiefase wordt de uitgevoerde audit geëvalueerd door de audit afdeling. Bij deze evaluatie gaat het om het proces van de uitgevoerde audit en de feitelijke inhoud van de audit. De input hiervoor kan zowel door de auditors als door de auditees en de proceseigenaar worden geleverd. Het doel van een dergelijke evaluatie is het bevorderen van de kwaliteit van de audit afdeling zelf. Met de follow-up wordt tenslotte nagegaan of het actieplan ook daadwerkelijk is uitgevoerd door het verantwoordelijk management. Deze follow-up kan de vorm hebben van een toetsing per actiepunt of een follow-up audit waarin meerdere actiepunten worden getoetst.

2.4 De auditor

2.4.1 Beroepsorganisaties De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de auditors opereren. Voor IT auditors is de Nederlandse Orde van Register EDP-Auditors (NOREA) de betrokken beroepsorganisatie. Voor operational auditors is het de Vereniging van Register Operational auditors (VRO) en voor internal (operational) auditors de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL). De Nederlandse sectie van de IIA bestaat sinds 1997 en is de beroepsvereniging voor Internal auditors. Voorwaarden voor lidmaatschap zijn het werkzaam zijn als Internal auditor, ingeschreven zijn in een van de audit registers van VRO, NIVRA, NOREA , NOvAA en IIA en minimaal drie jaar werkervaring hebben in Internal audit. Lidmaatschap van de IIA NL geeft geen recht op een specifieke titel. Als haar hoofdtaken ziet de IIA NL:

1. Het behartigen van de belangen van de leden. Zij wil de kwaliteit van de beroepsuitoefening bevorderen en bewaken, zorgen voor promotie van het beroep en het vakgebied, informatie verschaffen en de Internal auditor op de hoogte houden van de nieuwste ontwikkelingen;

2. Zorgen voor kwaliteitsbewaking. Hiertoe ontwikkelt zij standaarden voor beroepsuitoefening en deskundigheidseisen, verricht zij onderzoek en publiceert zij onderzoeksrapporten en biedt zij vaktechnische ondersteuning ten aanzien van kwaliteitszorg en praktijkvraagstukken;

3. Bevorderen van (permanente) educatie. De IIA NL brengt adviezen uit op het gebied van opleidingen, het verzorgt de aansluiting van de Nederlandse beroepsopleidingen op de Amerikaanse opleiding ter voorbereiding op het examen voor het behalen van de wereldwijd erkende titel 'Certified Internal Auditor' (CIA);

4. Het delen van kennis. Dit doet zij onder andere via het tijdschrift ‘Audit Magazine’, de website en het vakblad ‘The Internal Auditor’ en het organiseren van seminars en trainingen;

5. Profileren van het vak. Het IIA NL wil een positieve beeldvorming over het vak realiseren en bewaken en ziet interne eenduidigheid en consensus als belangrijke factoren voor succes.

9

In maart 2007 hebben de VRO en de IIA een integratieovereenkomst gesloten, wat tot vergaande samenwerking moet leiden. Daarom zullen wij de eisen welke gesteld worden door de IIA aan de auditor behandelen in het hoofdstuk over operational auditing (Hoofdstuk 4).

2.4.2 Eisen aan de auditor Vanuit de oordelende rol die auditors vervullen, kunnen een aantal algemene eisen worden onderscheiden die aan de auditor worden gesteld. Eisen vanuit de beroepsorganisaties zijn onder andere deskundigheid, objectiviteit, onafhankelijkheid en onpartijdigheid. Deze eisen zullen we uitgebreid behandelen in de hoofdstukken over IT audit en operational audit (respectievelijk Hoofdstuk 3 en 4).

2.5 Tot slot In deze scriptie kijken wij welke aspecten die een rol spelen bij de uitvoering van IT en operational audits van invloed zijn op de inrichting van audit functies binnen een interne audit afdeling. In dit hoofdstuk hebben wij ons gericht op auditing in het algemeen teneinde een antwoord te kunnen geven op het eerste gedeelte van de eerste subvraag, namelijk: “Welke aspecten spelen een rol bij de uitvoering van een audit?”. Daarbij hebben wij ons gericht op de verschillende soorten audits die onderscheiden kunnen worden, de algemene aspecten die een rol spelen bij de daadwerkelijke uitvoering van een audit en de eisen die worden gesteld aan de uitvoerders van de audits, de auditors. Wij hebben gezien dat er verschillende soorten audits kunnen worden onderscheiden, namelijk interne en externe audits, product en proces audits en financial, IT en operational audit. Aspecten die een rol spelen bij de uitvoering van audits bleken te zijn de objecten, de kwaliteitsaspecten, de normen en de audit fases. Bij de behandeling van het onderdeel ‘auditors’ zijn wij met name ingegaan op de verschillende beroepsorganisaties voor IT, operational en internal auditors. Aangezien wij ons in deze scriptie richten op de uitvoering van interne IT en operational audits, zullen wij in de volgende twee hoofdstukken dieper ingaan op die aspecten waarvan wij, op basis van datgene wat wij in dit hoofdstuk hebben behandeld, verwachten dat IT en operational auditing de meeste verschillen vertonen. Namelijk de soorten audits, de objecten, de kwaliteitsaspecten, de normen en de auditors. Omdat het bij de audit fases niet uitmaakt of het een IT of een operational audit betreft, zullen wij dit aspect niet behandelen in de komende twee hoofdstukken. In Hoofdstuk 5 zullen wij vervolgens de verschillen en de overeenkomsten tussen IT en operational auditing wat betreft deze elementen vaststellen.

10

3 IT auditing

3.1 Inleiding Zoals eerder aangegeven is het vakgebied van IT auditing ontstaan vanuit de behoefte om meer zekerheid te verkrijgen over het gebruik van geautomatiseerde systemen binnen de administratieve organisatie en de automatiseringsorganisatie zelf. Binnen het vakgebied is er nog geen eenduidigheid over de inhoud ervan. Dit blijkt ook uit de verschillende definities voor IT auditing die in gebruik zijn. Van Biene-Hershey (1996) definieert IT auditing als volgt: “An independent and impartial assessment leading to a clear opinion about information systems, cybernetic systems, technical systems as they are used by the enterprise; as well as all parts of the organisation with any relationship to those systems; in particular those parts of the organisation responsible for developing, maintaining, introducing and operating automated systems, as well as the management of the infrastructures relied upon by the enterprise.” En “This definition emphasises the scope of the objects of the assessment process because the character of the objects of the audit are the reason why it is referred to as IT Auditing and not some other type of audit”. Volgens de NOREA (2003) is IT audit: “de discipline die zich bezig houdt met het beoordelen van en adviseren over de kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatietechnologie ten behoeve van de beheersing daarvan”. Van Praat en Suerink (2004) spreken over EDP auditing, waarvoor zij de volgende definitie geven: “Het vakgebied dat zich bezighoudt met de beoordeling en advisering bij objecten van de informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering. Het doel hiervan is kwalitatief en/of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever gerealiseerd worden”. Bij deze drie verschillende definities vallen een aantal zaken op:

1- Het doel van de audit wordt in uiteenlopende mate gespecificeerd. Waar Van Biene-Hershey alleen spreekt over het verkrijgen van een duidelijke mening over de systemen, gaat het voor de NOREA om de beheersing van de kwaliteit van de informatieverwerking. Van Praat en Suerink gaan nog een stap verder door te zeggen dat het gaat om het leveren van een kwalitatieve en/of kwantitatieve bijdrage aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever worden gerealiseerd;

2- De soorten van werkzaamheden die onder IT auditing vallen, verschillen. Volgens zowel de NOREA als Van Praat en Suerink gaat het bij IT auditing om het beoordelen en het adviseren. Dit in tegenstelling tot Van Biene-Hershey, die alleen spreekt over het doen van een onafhankelijke en zelfstandige beoordeling;

3- Hoewel globaal hetzelfde, zijn de onderzoeksobjecten in de drie definities niet helemaal gelijk. Van Biene-Hershey is het meest expliciet door als onderzoeksobjecten de verschillende soorten systemen het benoemen (namelijk informatie systemen, cybernetische systemen en technische systemen), maar ook de onderdelen van de organisatie die in relatie staan tot die systemen. Dit in tegenstelling tot de NOREA en Van Praat en Suerink, die beiden in min of meer gelijke termen spreken over het onderzoeksobject. Bij de NOREA gaat het namelijk om de” kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatietechnologie”. En bij Van Praat en Suerink om “objecten van de informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering”.

Vanwege de wijze waarop zij het object van onderzoek omschrijven, een belangrijk onderdeel van onze scriptie, zullen wij in het vervolg uitgaan van de definitie zoals Van Praat en Suerink die hanteren. In de volgende paragrafen zullen wij, conform de opzet in het hoofdstuk ‘Auditing in het algemeen’, dieper ingaan op de soorten IT audits, de aspecten die een rol spelen bij de uitvoering van IT audits en de IT auditor.

11

3.2 Soorten IT audits Van Biene-Hershey (1996) voegde bij haar definitie van IT auditing toe dat juist het object van onderzoek datgene is dat IT auditing onderscheid van andere disciplines. In samenhang met de verschillende soorten systemen, onderscheidt zij drie soorten IT audits: technical, (information) system en cybernetic auditing. Dit onderscheid heeft zij gebaseerd op de verschillende soorten systemen en de daarvoor benodigde expertise. Onder technische systemen vallen volgens haar de besturingssystemen, database management systemen en telecommunicatie software. Informatiesystemen zijn de computer programma’s die als voornaamste doel hebben om data te produceren voor menselijk gebruik en cybernetische systemen zijn alle geautomatiseerde systemen die zijn gebouwd om machines te besturen zoals robots en satellieten. Voor iedere soort systeem onderscheid Van Biene-Hershey ook een specialistische auditor, dat wil zeggen een technical, een system en een cybernetic auditor. Een vierde soort auditor die zij hier aan toevoegt betreft de computer centre auditor. Daar waar de andere drie auditors naar de ontwikkeling van de systemen kijken, richt de computer centre auditor zich volgens haar op de uitvoering van de dagelijkse werkzaamheden in het computer centrum. De system auditors kijken bovendien niet alleen naar de informatie systemen, maar ook naar de gebruikersorganisatie. Een andere indeling van soorten IT audits, is die welke uitgaat van specialismen binnen IT audits. Wat deze specialismen van elkaar onderscheiden, zijn echter vooral de objecten van onderzoek. Te denken valt daarbij aan bijvoorbeeld audits gericht op IT projecten, forensische IT audits, General IT Controls audits en beveiliging- en privacy audits. Wanneer we de hierboven genoemde soorten IT audits vertalen naar proces- en productaudits, een indeling waarvan we in het vorige hoofdstuk hebben gezien dat die ook kan worden gehanteerd bij soorten audits, dan zien we de volgende verdeling:

• Procesaudits: de audits naar de uitvoering van werkzaamheden in het computer centrum, naar de gebruikersorganisatie en de General IT Controls audits;

• Productaudits: de audits naar de technische systemen, de informatie systemen (de applicaties) en de cybernetische systemen.

Sommigen van de hierboven genoemde soorten audits kunnen echter niet specifiek als een proces- of als een productaudit worden getypeerd. Afhankelijk van de verdere uitwerking van het onderzoek kunnen zij namelijk in beide categorieën worden ingedeeld. Voorbeelden hiervan zijn de beveiliging- en privacy audits en de project audits.

3.3 Uitvoering van de IT audit

3.3.1 Objecten van onderzoek Van Praat en Suerink (2004) verdelen objecten van onderzoek van IT audits over de volgende vier hoofdcategorieën:

1. Organisatie van de informatievoorziening; 2. Informatiesystemen en systeemontwikkeling; 3. Technische infrastructuur; 4. Informatiebeveiliging.

Daarbij vallen onder organisatie van de informatievoorziening bijvoorbeeld de strategiebepaling voor de organisatie, de inrichting van de bedrijfsprocessen, projectrealisatie en weten regelgeving. Zijn objecten binnen informatiesystemen de computerprogramma’s, de organisatie en structuur van de systeemontwikkeling en de processen binnen systeemontwikkeling. Vallen onder technische infrastructuur de organisatie van het beheer van de technische infrastructuur, de processen met betrekking tot het beheer van de technische infrastructuur, de besturingssystemen, databases en datacommunicatie. Objecten binnen informatiebeveiliging zijn de externe en de logische toegangsbeveiliging, de fysieke beveiliging en de organisatie met betrekking tot de toegangsbeveiliging.

12

Ook deze vier categorieën van objecten kunnen we verdelen over proces- en productaudits:

Organisatie van de informatie voorziening

Informatiesystemen en systeemontwikkeling

Technische infrastructuur

Informatiebeveiliging

Processen Strategie van de organisatie; Inrichting van de bedrijfsprocessen; Wet- en regelgeving

Organisatie en structuur van systeem ontwikkeling; Processen binnen systeem ontwikkeling

Organisatie en beheer van technische infrastructuur; Processen m.b.t. beheer technische infrastructuur

Organisatie m.b.t. toegangsbeveiliging

Producten Projectrealisatie Computerprogramma’s Besturingssystemen; Databases; Datacommunicatie systemen

Externe en logische toegangsbeveiliging, fysieke beveiliging

Figuur 2: De onderverdeling van IT audit objecten Bij procesaudits kan de opzet, bestaan en werking worden vastgesteld, bij productaudits de opzet en bestaan. Producten functioneren in een omgeving of een proces. Het proces waarborgt dat een product (bv. een informatiesysteem) goed werkt. Voor de opzet zal de aanwezige documentatie worden geraadpleegd en eventueel aanvullende gesprekken worden gevoerd. Hiermee kan men meer inzicht krijgen in de manier waarop het object is ingericht en kan de auditor hier een oordeel over geven. Vanuit de opdracht voor een audit worden veelal normen meegegeven die het uitgangspunt vormen voor het uitvoeren van de audit. Deze normen zijn vaak generiek van karakter en dienen nader geconcretiseerd te worden. Als er inderdaad sprake is van een als voldoende beoordeelde opzet, kan de auditor deze opzet als norm gebruiken om vast te stellen of het ook inderdaad als zodanig in de organisatie is ingevoerd. Hiermee toetst hij het bestaan van het object. Bij het vaststellen van het bestaan gaat het erom vast te stellen of de feitelijke situatie in overstemming is met de opzet. Mocht de feitelijke situatie niet overeenkomen met de opzet dan moeten de afwijkingen getoetst worden aan de algemene normen van de opdracht. Een veel gebruikte methode om het bestaan van IT objecten te toetsen is het uitvoeren van lijncontroles, ofwel het volledig na lopen van een IT object met als doel het vaststellen of alle handelingen worden uitgevoerd in overeenstemming met de opzet. Wanneer wordt geoordeeld dat de opzet voldoende binnen de organisatie is ingevoerd, dan kan de werking worden getoetst. Hierbij wordt er gekeken of het object functioneert (werkt) conform het bestaan. Ook hier zijn de algemene normen leidend en wordt er aan de hand van deze normen vastgesteld of eventuele afwijkingen van de bestaansvaststelling acceptabel zijn, teneinde een oordeel te kunnen vormen.

3.3.2 Aspecten Aspecten die bij IT auditing een belangrijke rol spelen zijn effectiviteit, efficiency, betrouwbaarheid en continuïteit (VU, 2006). Effectiviteit is in dit kader de mate waarin de geplande activiteiten worden gerealiseerd en geplande resultaten worden behaald. Efficiency betreft de verhouding tussen de behaalde resultaten en de gebruikte middelen. Betrouwbaarheid betreft in dit verband de juistheid, tijdigheid en volledigheid van de informatie (verwerking of voorziening). Continuïteit wordt beschouwd als de mate waarin de gegevensverwerking ongestoord voortgang vindt. Volgens Van Praat en Suerink (2004) kunnen kwaliteitsaspecten worden onderverdeeld in kwaliteitsattributen. De reden hiervoor is het feit dat het geven van een oordeel over een onderzoeksobject met behulp van kwaliteitsaspecten kan leiden tot problemen. Deze problemen ontstaan wanneer er een motivatie nodig is om aan te geven waarom een bepaald object niet betrouwbaar is. Daarom is voor ieder kwaliteitsaspect een onderverdeling gemaakt in kwaliteitsattributen. Binnen het kwaliteitsaspect effectiviteit worden onder andere de attributen onderhoudbaarheid, herbruikbaarheid en geschiktheid van de infrastructuur benoemd. Kwaliteitsattributen binnen het kwaliteitsaspect efficiency zijn onder andere gebruikersvriendelijkheid en flexibiliteit. Juistheid, volledigheid en tijdigheid zijn onder andere kwaliteitsattributen binnen het kwaliteitsaspect betrouwbaarheid. Ten aanzien van het kwaliteitsaspect continuïteit zijn het onder andere de kwaliteitsattributen herstelbaarheid en uitwijkmogelijkheid.

13

3.3.3 Normen Zoals reeds eerder beschreven, zijn normen nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Volgens Van Praat en Suerink (2004) kan er onderscheid worden gemaakt tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de wijze waarop audit uitgevoerd moeten worden. In de statuten, reglementen, richtlijnen en aanbevelingen van de NOREA zijn de belangrijkste uitvoeringsnormen vastgelegd. Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld. Algemene, veel gebruikte toetsingsnormen binnen de IT zijn CobiT, ITIL, Code voor Informatiebeveiliging, Capability Maturity Model en Prince2. Normen vanuit de wetgeving zijn bijvoorbeeld de Wet Bescherming Persoonsgegevens en de Wet Computercriminaliteit. CobiT is ontwikkeld vanuit een audit oogpunt voor het beheren van de informatietechnologie in organisaties. CobiT is opgebouwd uit een viertal domeinen, binnen deze domeinen zijn diverse processen en activiteiten gedefinieerd. ITIL (Information Technology Infrastructure Library) heeft als doel het bieden van ondersteuning bij het verbeteren van de efficiency en effectiviteit van de IT dienstverlening en het beheer van de IT Infrastructuur in organisaties. ITIL bestaat uit 7 sets op strategisch, tactisch en operationeel niveau. In de praktijk zijn meestal de Service Delivery en Service Support sets binnen een IT organisatie geïmplementeerd. De Code voor Informatiebeveiliging is oorspronkelijk ontwikkeld in het Verenigd Koninkrijk waar een aantal grote organisatie in het bedrijfsleven hun dagelijkse praktijk t.a.v. informatiebeveiliging hebben vastgelegd. Deze vastlegging (Code of Practice for Information Security) is later door het ministerie van Economische Zaken en in samenwerking met een groep bedrijven en organisaties in Nederland overgenomen. Inmiddels is de Code voor Informatiebeveiliging een algemeen aanvaarde standaard als het gaat om informatiebeveiliging. De code heeft als doel het verschaffen van een gemeenschappelijke basis voor bedrijven van waaruit deze effectieve codes voor informatiebeveiliging kunnen ontwikkelen, implementeren en meten en daarnaast het bevorderen van het vertrouwen in het handelsverkeer tussen bedrijven. Het Capability Maturity Model (CMM) is een model dat gebruikt wordt om verschillende niveaus in volwassenheid van het systeemontwikkelingsproces aan te merken. CMM bestaat uit 5 niveaus en ieder niveau bevat een reeks procesdoelen die kenmerkend zijn voor de betreffende fase van het systeemontwikkelingsproces. Prince2 is een procesmethodiek en heeft als doel het bieden van een structuur met richtlijnen en hulpmiddelen voor het beheerst opstarten, uitvoeren en afronden van projecten. Prince2 bestaat uit een achttal hoofdprocessen en een achttal componenten.

3.4 De IT auditor

3.4.1 Beroepsorganisatie De NOREA is de beroepsorganisatie voor IT auditors. De NOREA waakt over de deskundigheid van haar leden en bindt hen tevens aan regels voor de beroepsuitoefening. De NOREA kent op dit moment 1300 leden en ruim 500 aspirant leden. Toelating tot de NOREA is mogelijk wanneer een kandidaat is afgestudeerd aan een erkende (post) universitaire opleiding tot IT auditor en daarnaast over minimaal 3 jaar beroepservaring beschikt. Na inschrijving mogen de kandidaten de beschermde deskundigheidsaanduiding ‘RE’ voeren. Volgens het jaarboek 2006/2007 van de NOREA is de doelstelling van deze organisatie drieledig:

1. Het bevorderen van de kwaliteit van de beroepsuitoefening door de leden. De NOREA werkt deze doelstelling als volgt uit:

• Beroepsreglementering: alle RE’s dienen zich te houden aan de Gedrags- en Beroepsregels (‘Code of Ethics’) en de daaruit voortvloeiende nadere beroepsreglementering in de vorm van

14

specifieke Reglementen, Richtlijnen en Aanbevelingen. De actualiteit van de relevante gedrags- en beroepsregels wordt bewaakt door de Raad voor Beroepsethiek;

• Bewaking van de kwaliteit van de instroom van nieuwe RE’s. De Commissie van Toelating is hiermee belast;

• Tuchtrecht: de NOREA kent een Raad van Tucht. Deze is belast met de behandeling van klachten die tegen RE’s worden ingediend;

• Een verplichting tot voorgezette educatie: de RE’s zijn op grond van de Richtlijn Permanente Educatie verplicht jaarlijks 40 uur aan educatie te besteden zodat zij bijblijven op hun vakgebied;

2. Het bevorderen van de ontwikkeling van het vakgebied IT auditing en van het beroep RE door onder andere het organiseren van symposia, het in studiegroepen uitdiepen van vaktechnische onderwerpen en de uitgave van het NOREA blad ‘de EDP-Auditor’;

3. Het behartigen van de belangen van de leden voor zover deze de beroepsuitoefening raken. Hierbij wordt ondermeer gedacht aan het behartigen van de vaktechnische belangen van de RE’s in de richting van de overheid en andere beroepsorganisaties, het gevraagd en ongevraagd adviseren van de overheid met betrekking tot vraagstukken op het gebied van IT auditing en het geven van voorlichting betreffende het vakgebied IT auditing en het beroep RE aan leden en derden.

3.4.2 Eisen aan de IT auditor De NOREA geeft duidelijke richtlijnen ten aanzien van onder andere integriteit, objectiviteit, deskundigheid en zorgvuldigheid. Met name met het Reglement Beroepsuitoefening Register EDP auditors en het Reglement Gedrags- en Beroepsregels Register EDP auditors (GBRE), bewaakt zij het niveau van functioneren van de Register EDP auditors. Sinds juli 2006 is het GBRE vervangen door ‘Code of Ethics for IT auditors’. Deze Code of Ethics is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en is een gedragscode die geldig is voor iedere IT auditor. De Code of Ethics geeft richtlijnen ten aanzien van:

• Integriteit; • Objectiviteit; • Deskundigheid en Zorgvuldigheid; • Geheimhouding; • Professioneel gedrag.

Integriteit Volgens Van Praat en Suerink wordt de integriteit van de IT auditor gewaarborgd door het zorgvuldig omgaan met en bewust zijn van de vooroordelen die hij kan hebben door zijn persoonlijke kennis en ervaring. De Code of Ethics geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in beroepsmatige en zakelijke betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet volledig is of op meerdere manieren op te vatten is. Objectiviteit Zoals reeds eerder genoemd moet een auditor objectief zijn. De Code of Ethics stelt dat de IT auditor het niet accepteert dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt. Deskundigheid en Zorgvuldigheid De Code of Ethics stelt dat de IT auditor zijn deskundigheid en vaardigheid op het niveau houdt dat vereist is om diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. Daarnaast dient de IT auditor zorgvuldig te handelen bij het verlenen van diensten en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.

15

Volgend op de eerder beschreven soorten IT audits en de verschillende soorten objecten binnen IT audit, betekent dit dat de IT auditor ook voldoende deskundig moet zijn op deze objecten. En omdat deze objecten inhoudelijk sterk uiteenlopen is het te verwachten dat niet alle auditors even deskundig zijn op al deze punten en er specialismen binnen IT auditing ontstaan. Zeker ook omdat de IT zeer dynamisch en continu aan veranderingen onderhevig is, zal enige vorm van specialisme voor een IT auditor onontbeerlijk zijn wil hij in staat zijn om zich voortdurend op de hoogte te houden van de ontwikkelingen binnen zijn vakgebied. Volgens Van Praat en Suerink dient de IT auditor naast het zorgen voor relevante deskundigheid ook rekening houden met de grenzen van zijn deskundigheid. Ondanks dit specialisme, kan echter gesteld worden dat iedere IT Auditor in ieder geval voldoende kennis moet hebben van de volgende zaken: algemene organisatie principes, de omgeving waarin de infrastructuur en de systemen zich bevinden, de System Life Cycles, de verschillende ontwikkel methodieken, informatiebeveiliging en van auditing in het algemeen (Van Biene-Hershey, 1996). Geheimhouding De Code of Ethics stelt dat de IT Auditor een geheimhoudingsplicht heeft zowel in zijn sociale omgang, de audit organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een cliënt of organisatie. Professioneel gedrag De Code of Ethics stelt dat de IT Auditor zich dient te houden aan de relevante wet en regelgeving en zich onthoudt van handelingen welke het audit beroep in diskrediet kan brengen.

3.5 Tot slot In dit hoofdstuk hebben we specifiek vanuit oogpunt van IT auditing aandacht besteed aan de soorten IT audits, de aspecten die een rol spelen bij de daadwerkelijke uitvoering van IT audits, namelijk de objecten, de kwaliteitsaspecten, de normen en de IT auditor. Samenvattend kunnen we zeggen dat de soorten IT audits direct samen hangen met de objecten van onderzoek. Deze objecten vallen over het algemeen onder één van de volgende categorieën: organisatie van informatievoorziening, informatiesystemen en systeemontwikkeling, technische infrastructuur of informatiebeveiliging. Voor alle soorten objecten kan de opzet, de bestaan en de werking worden vastgesteld. Belangrijke aspecten waarover bij IT audits een uitspraak wordt gedaan zijn effectiviteit, efficiency, betrouwbaarheid en continuïteit. Veel gebruikte, algemene normen waaraan de IT objecten worden getoetst zijn raamwerken die zich richten op één of meerdere aan de IT gelieerde onderwerpen, zoals ITIL dat zich richt op de IT dienstverlening en beheer en CMM dat betrekking heeft op systeemontwikkeling. Voor de uitvoering van IT audits moet de interne IT auditor niet alleen aan eisen voldoen als integriteit en objectiviteit, maar ook aan de eis met betrekking tot deskundigheid. Juist het kunnen voldoen aan deze eis, zou mogelijk als onderscheidend kenmerk van de IT auditor beschouwd kunnen worden. Het gaat hier immers niet alleen om deskundigheid op het gebied van auditing in het algemeen, maar ook om deskundigheid met betrekking tot de objecten die hij onderzoekt, namelijk de IT in al zijn facetten. Volgens Mollema en Van der Pijl (2005) heeft IT auditing zich in zijn circa 30 jarig bestaan weliswaar weten te vestigen als een levensvatbaar beroep met een eigen beroepsorganisatie, maar heeft het als vak nog onvoldoende relevantie verkregen. Door meer vanuit de organisatiestrategie te auditen en zich sterker op veranderingen te oriënteren, zou het volgens hen deze hogere relevantie wel kunnen verkrijgen. De vraag die deze andere rol echter oproept, is of de IT auditor hier dan wel de meest geschikte persoon voor is of dat het eerder iets is voor de operational auditor. Waarbij de IT auditor dan de specifieke IT strategie- en IT veranderingsaspecten voor zijn rekening zal nemen. Om hier een uitspraak over te kunnen doen, zullen we in het volgende hoofdstuk dieper ingaan op aspecten die een rol spelen bij de uitvoering operational audits, namelijk objecten, aspecten, normen en de aan de auditor gestelde eisen.

16

4 Operational auditing

4.1 Inleiding Hoewel het vakgebied van operational auditing in vergelijking met IT auditing nog relatief kort bestaat, lijkt men behoorlijk eensgezind over de inhoud ervan. De definities van operational auditing vertonen namelijk, in tegenstelling tot die voor IT auditing, behoorlijk veel overeenkomsten. De Vereniging van Register Operational auditors (VRO) geeft op hun website de volgende definitie van operational auditing (2007): “Operational auditing is een onderzoek gericht op de kwaliteit van de beheersing van bedrijfsprocessen door het verantwoordelijk management. Onder kwaliteit is in dit verband te verstaan de effectiviteit en efficiency van getroffen maatregelen die moeten waarborgen dat de activiteiten plaatsvinden in overeenstemming met de uitgangspunten van de organisatie, de "tight controls" en de algemene eisen die aan beheersing te stellen zijn”. Driessen en Molenkamp (2004) verstaan onder een operational audit: “het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex aan beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingskaders die door het bovenliggende managementniveau zijn geformuleerd”. Kocks (2003) gebruikt de volgende door Paape voorgestelde definitie van operational audit: “een objectief onderzoek naar het functioneren van het management control system van een organisatie, gericht op de realisatie van de strategie van de organisatie, met als oogmerk het geven van additionele zekerheid en waar nodig het geven van adviezen ter verbetering”. De Cock en Molenkamp (2004) geven geen definitie van operational auditing, maar zeggen de operational auditor te beschouwen als degene die het management aanvullende zekerheid verschaft over de kwaliteit van beheersing van realisatie van de doelstellingen. Hiermee levert de operational auditor een bijdrage aan de continuïteit van de organisatie. In lijn hiermee zeggen Hartog en De Korte (2003) dat operational auditors een oordeel geven over de kwaliteit van de beheersing van de organisatie en daartoe de kwaliteit van de beheersing van de meest kritische processen onderzoeken. Beheersing wordt volgens hen daarbij vaak geïnterpreteerd als het geheel van maatregelen dat moet waarborgen dat de doelstellingen zullen worden bereikt. Het verkrijgen van additionele zekerheid over het bereiken van de doelstellingen vormt het uiteindelijke doel van de operationele audit. Vergelijking van de hierboven genoemde definities en omschrijvingen, maakt het volgende duidelijk:

1. Object van onderzoek is volgens alle definities de bedrijfsvoering door het management. De VRO spreekt over ‘de beheersing van bedrijfsprocessen’, Driessen en Molenkamp van ‘het gehele complex aan beheersingsmaatregelen’ en Kocks van ‘het Management Control System gericht op de realisatie van de strategie van de organisatie’;

2. Als doel van een operational audit spreekt Kocks over het geven van additionele zekerheid en het waar nodig geven van adviezen te verbetering. Zowel Hartog en De Korte als De Cock en Molenkamp noemen daarentegen alleen het verkrijgen van additionele zekerheid als doel. De definities van de VRO en van Driessen en Molenkamp benoemen tenslotte helemaal geen doel van een operational audit.

Bij het spreken over operational auditing zullen wij in het vervolg van deze scriptie uitgaan van de definitie die Driessen en Molenkamp hiervoor geven. Dit doen wij, in aansluiting op onze keuze voor de te hanteren definitie van IT auditing, vanwege de wijze waarop in deze definitie het object van onderzoek wordt omschreven.

17

4.2 Soorten operational audits Zoals de hierboven genoemde omschrijvingen aangeven, richten operational audits zich met name op de kwaliteit van de bedrijfsvoering. Deze bedrijfsvoering wordt ook wel weergegeven in de managementcyclus, welke achtereenvolgens bestaat uit beleid formuleren, inrichten, uitvoeren en toetsen. Hierbij bestaat beleid formuleren uit alles wat betrekking heeft op het sturen en beheersen van de organisatie, zoals de missie, strategie, de doelstellingen en de kaders waarbinnen die doelstellingen bereikt moeten worden. Inrichten betreft de inrichting van de activiteiten binnen een organisatie(-onderdeel), voortvloeiend uit het eerder geformuleerde beleid, en uitvoeren de daadwerkelijke uitvoering van die activiteiten. Bij dit laatste is het natuurlijk belangrijk dat het plaatsvindt conform de gestelde kaders. Om dit vast te stellen en zo nodig in te kunnen grijpen, zal een regelmatige evaluatie van de feitelijke situatie moeten plaatsvinden. Dit betreft het onderdeel toetsen. Schematisch ziet de managementcyclus er als volgt uit:

Figuur 3: De managementcyclus Omdat de bedrijfsvoering dus een breed spectrum van onderwerpen bestrijkt, kunnen bij een operational audit verschillende aspecten van de bedrijfsvoering in ogenschouw worden genomen. Variërend van de algemene kwaliteit van de beheersing van de organisatie of een afdeling, tot de kwaliteit van de uitvoering van specifieke processen en producten. In het eerste geval gaat het om een procesaudit, en in het tweede geval om een productaudit. Bij een procesaudit wordt het gehele stelsel van beheersingsmaatregelen die de uitkomsten voor de organisatie moeten waarborgen, beoordeeld. Bij een product- (of performance) audit daarentegen, wordt de kwaliteit van een specifiek onderdeel of uitkomst van de bedrijfsvoering getoetst. Zoals de kwaliteit van de uitwerking van de kaders ten behoeve van compliancy met weten regelgeving (beleid formuleren), de kwaliteit van een verantwoording zoals een milieuverslag of de mate waarin de organisatiedoelstellingen worden gerealiseerd (uitvoeren). In alle gevallen vervult de operational auditor dus de uitvoering van het onderdeel toetsen binnen de managementcyclus.

4.3 Uitvoering van de operational audit

4.3.1 Objecten van onderzoek Uit de omschrijvingen van operational auditing bleek dat de organisatie, en dan in het bijzonder de kwaliteit van de beheersing van de bedrijfsvoering, het primaire object van onderzoek is bij operational auditing. Vanuit deze centrale focus op organisatie kunnen daarvan afgeleide onderzoeksobjecten worden afgeleid. Het betreft dan objecten als bedrijfsonderdelen, de bedrijfsprocessen, het beleid, de managementinformatie, procedures en regels maar ook objecten als veranderingsprocessen en projecten. Van deze objecten kunnen achtereenvolgens de opzet, het bestaan en de werking worden vastgesteld. Wanneer vanuit een (proces-) audit wordt gekeken naar de managementcyclus, zal de opzet, het bestaan en de werking van de beheersingsmaatregelen binnen een organisatie worden beoordeeld. Allereerst wordt de opzet getoetst door te kijken naar de kwaliteit van de uitwerking door de proceseigenaar van de centrale beheersingskaders (de strategic of tight controls) in decentrale beleidskaders en inrichtingskeuzes (management en operational controls). Hiervoor zal gekeken worden naar zaken als de taak- en verantwoordelijkheidsverdeling, resultaatafspraken, procedures, normen en richtlijnen en productspecificaties. Dit gebeurt vooral door middel van het voeren van interviews (met het hogere kader) en het opvragen en bestuderen van documenten. Als uit de audit blijkt dat de beleids- en inrichtingskeuzes niet in overeenstemming zijn met de beheersingskaders of niet uitvoerbaar, zou de audit hier kunnen eindigen. Immers, de inrichting van het proces (het bestaan) en het feitelijk verloop (de

Beleid Formuleren

Uitvoeren

Inrichten Toetsen

18

werking) zullen alleen toevallig in overeenstemming kunnen zijn met de normen. De auditor zou echter ook kunnen kijken welke maatstaven en normen in de praktijk worden gehanteerd, en kunnen aanbevelen deze alsnog vast te leggen. Wanneer de opzet van de beheersingskaders als positief is beoordeeld, kan de auditor vervolgens kijken in welke mate de decentrale processen en eenheden zijn ingericht conform de doelstellingen en kaders. Hiermee gaat hij na of het uiteindelijke proces ook daadwerkelijk beheersbaar is ingericht, en kijkt hij derhalve of de beheersingsmaatregelen effectief en efficiënt zijn. Dit betekent dat hij door middel van interviews (met het lagere kader), observaties ter plekke en onderzoek van documenten en resultaatgegevens nagaat of met de beheersingsmaatregelen adequate informatie beschikbaar komt om het proces of de productspecificaties te meten en bij te stellen (dat wil zeggen of ze effectief zijn) en of precies de juiste beheersingsmaatregelen aanwezig zijn om de risico’s te beheersen (dat wil zeggen of ze efficiënt zijn). Als de beheersingsmaatregelen een consistente en logische uitwerking vormen van de formele productspecificaties, richtlijnen, procedures en criteria, kan de werking worden getoetst. Door middel van deelwaarnemingen en steekproeven kan worden vastgesteld of de organisatie en de beheersingsmaatregelen ook daadwerkelijk zo functioneren als zou moeten.

4.3.2 Aspecten Kwaliteitsaspecten die bij operational audits vaak worden gehanteerd zijn effectiviteit en efficiency. Dit zagen we al bij de definities van operational auditing van de VRO en van Driessen en Molenkamp. Immers, beiden stelden dat de operational auditor een oordeel geeft over de effectiviteit en efficiency van de beheersingsmaatregelen die het management treft om te bewaken dat de organisatiedoelstellingen zullen worden gerealiseerd. De effectiviteit van de beheersingsmaatregelen betreft hier de mate waarin bij een verstoring of afwijking van de gebruikelijke situatie, door middel van het inzetten van de beheersingsmaatregelen toch de geformuleerde eisen bereikt kunnen worden. Bij efficiency van de beheersingsmaatregelen gaat het om de mate waarin de beheersingsmaatregelen qua omvang en gewicht voldoende zijn toegesneden op de specifieke behoeften van de procesverantwoordelijke om een verstoring of afwijking te kunnen signaleren en te beïnvloeden. Naast deze twee kwaliteitsaspecten, zijn er echter nog meer aspecten die een rol kunnen spelen bij een audit (Driessen en Molenkamp, 2004). Deze zijn bijvoorbeeld de flexibiliteit en continuïteit (van de processen), doorlooptijd (van het productieproces), de veiligheid (van medewerkers en bedrijfseigendommen) en de toegankelijkheid en betrouwbaarheid (van informatie). Betrouwbaarheid is hierbij een samenspel van de aspecten tijdigheid, juistheid en volledigheid. Welke kwaliteitsaspecten uiteindelijk in beschouwing zullen worden genomen, zal worden bepaald door de aard van het onderzoeksobject en de gehanteerde normen.

4.3.3 Normen Aangezien in een audit de huidige situatie getoetst wordt ten aanzien van de gewenste situatie, vormen de normen het uitgangspunt van de onderzoeksactiviteiten. Bij een operational audit, dat zich richt op de kwaliteit van de beheersing van de bedrijfsvoering, vormen de beheersingskaders en de beheersingsmaatregelen het uitgangspunt. Waarbij de beheersingskaders de door de top van de organisatie aan de proceseigenaar opgelegde productspecificaties, richtlijnen en randvoorwaarden zijn en de beheersingsmaatregelen de daadwerkelijk door de proceseigenaar getroffen maatregelen (Driessen en Molenkamp). Binnen operational auditing zijn veel gebruikte normen om de kwaliteit van de beheersingsmaatregelen te toetsen het COSO-raamwerk, het KAD-model, het EFQM- of INK-model en de Balanced Business Scorecard. Het COSO-raamwerk is ontstaan in de Verenigde Staten, en is opgesteld door de Committee of Sponsoring Organizations of the Treadway Commission, in 1992. Deze commissie heeft een rapport (het zogenaamde COSO-rapport) opgesteld met als doel het management te ondersteunen bij het beheersen van de activiteiten en bedrijfsprocessen van haar organisatie. Het rapport richt zich specifiek op “internal control”. Hieronder verstaan zij het proces dat, onder invloed van het management en medewerkers, redelijke zekerheid moet geven over het bereiken van de doelstellingen met betrekking tot één of meer van de volgende categorieën: betrouwbaarheid van de financiële informatievoorziening, effectiviteit en efficiency van de bedrijfsprocessen en naleving van de wet-

19

en regelgeving. In het COSO-rapport zijn verschillende interne beheersingsthema’s gebundeld tot één raamwerk. Dit raamwerk bestaat uit vijf, onderling samenhangende elementen voor internal control:

1. Control Environment; 2. Risk Assessment; 3. Control Activities; 4. Information and Communication; 5. Monitoring.

Daar waar het COSO-raamwerk zich richt op organisatiebeheersing, richt het model Kwaliteit Administratieve Dienstverlening (het KAD-model) zich op procesbeheersing. Dit model komt voortuit de systeemleer en bestaat uit drie modules die gezamenlijk de managementkundige vraagstukken bij de inrichting en beheersing van een verantwoordelijkheidsgebied behandelen: de productmodule, de procesmodule en de structuurmodule. Het EFQM- en het (Nederlandse) INK-model komen voort uit de kwaliteitsleer. Het door de European Foundation for Quality Management (EFQM) ontwikkelde model richt zich op negen aandachtsgebieden van de bedrijfsvoering, waarvan procesbeheersing er een is. Het model van het Instituut Nederlandse Kwaliteit (het INK-model) is afgeleid van dit EFQM-model. Het EFQM- en INK-model bestaan uit de vijf organisatiegebieden Leiderschap, Middelen, Strategie en Beleid, Medewerkers en Processen, uit de vier resultaatgebieden Waardering Medewerkers, Waardering Klanten, Waardering Maatschappij en Bedrijfsresultaat. Bij de toepassing van dit model gaat het om de vier fases Bewustmaken, Diagnosticeren, Verbeteren en Besturen. De Business Balanced Scorecard is er op gestoeld dat het management inzicht wil hebben in een viertal perspectieven om de organisatie goed te kunnen aansturen en beheersen. Deze vier perspectieven zijn het Financiële perspectief, het Innovatieperspectief, het Procesperspectief en het Klantenperspectief. Voor elk perspectief zullen doelstellingen en succesfactoren benoemd moeten worden (de zogenaamde kritische succes factoren), welke regelmatig gemeten zullen moeten worden om zo nodig bij te kunnen sturen. Van iedere kritische succes factor zal moeten worden nagegaan welke invloed het heeft op de organisatie, de informatievoorziening, het personeelsbeleid en de interne communicatie. Op basis van deze analyse kan het management keuzes maken, welke vertaald moeten worden in beheersingskaders en beheersingsmaatregelen.

4.4 De operational auditor

4.4.1 Beroepsorganisaties Voor de operational auditors is de Vereniging van Register Operational auditors (VRO) de meest direct aangewezen beroepsorganisatie, hoewel ook de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL) zich sterk richt op operational auditors. Dit komt tot uiting met de integratieovereenkomst die in maart 2007 door de VRO en de IIA NL is aangenomen. De VRO bestaat nu circa 13 jaar en is de beroepsorganisatie voor operational auditors. Men kan alleen worden toegelaten tot de VRO wanneer men is afgestudeerd aan een erkende postdoctorale opleiding tot operational auditor en beschikt over drie jaar werkervaring als operational auditor. Na inschrijving mag men de beschermde titel RO achter de naam voeren. In de Statuten van de VRO zijn de volgende doelstellingen van de VRO benoemd:

1. Het bevorderen van een goede beroepsuitoefening door de leden die in het Register Operational auditors zijn ingeschreven;

2. Het bevorderen van de verdere ontwikkeling van het vakgebied operational auditing en van het beroep van operational auditor. Dit doet zij onder meer door het uitgeven van het vaktijdschriften De operational auditor en (in samenwerking met de IIA NL) Audit Magazine;

3. Het bevorderen van ter zake dienende opleidingen, gericht op het op peil houden van de deskundigheid van de leden;

4. Het behartigen van de gemeenschappelijke belangen van de leden, voor zover deze de beroepsuitoefening raken.

20

4.4.2 Eisen aan de operational auditor In de Gedrags- en Beroepsregels Register Operational auditors (GBRO) geeft de Vereniging van Register Operational auditors de regels aan die gelden voor haar leden. Van leden die optreden als operational auditor stelt zij eisen die betrekking hebben op: 1. Deskundigheid, 2. Zorgvuldigheid, 3. Vertrouwelijkheid, 4. Integriteit en 5. Ethiek. De IIA NL heeft zowel haar regels verwoord in haar Gedrags- en Beroepsregels Internal Auditors (GBRIA) als in de Code of Ethics. Deze laatste, die evenals de Standards for the Professional Practice of Internal Auditing een onderdeel uitmaakt van de Professional Practices Framework, komt echter niet overeen met haar eigen Gedrags- en Beroepsregels Internal Auditors. De Code of Ethics stelt immers als eisen:

• Integriteit; • Objectiviteit; • Vertrouwelijkheid • Deskundigheid.

Terwijl de GBRIA dezelfde eisen hanteert als de GBRO, namelijk:

• Deskundigheid; • Zorgvuldigheid; • Vertrouwelijkheid; • Integriteit; • Ethiek.

In hun verwoordingen van hun eisen vertonen de GBRO en de GBRIA overigens ook zeer sterke overeenkomsten. Deskundigheid Zowel de GBRO als de GBRIA stellen dat de auditor er voor moet zorgen dat zijn vaktechnische kennis en vaardigheden van voldoende niveau zijn en blijven en dat hij zijn werk in overeenstemming met de vaktechnische normen en standaarden uitvoert. De Code of Ethics daarentegen werkt de eis van deskundigheid uit door te stellen dat de Internal auditor alleen die opdrachten mag vervullen waarvoor hij voldoende kennis, vaardigheden en ervaring bezit, dat de hij zijn werk zo veel mogelijk moet uitvoeren in overeenstemming met de International Standards for the Professional Practice of Internal Auditing van de IIA en dat hij voortdurend moet zorgen voor kwaliteitsverbetering. Driessen en Molenkamp (2004) werken het aspect deskundigheid uit door te zeggen dat de operational auditor kennis moet hebben van management en organisatiekunde en De Cock en Molenkamp (2004) door te zeggen dat hij moet beschikken over een multidisciplinaire achtergrond en analysevaardigheden. Zorgvuldigheid Zowel de GBRO als de GBRIA eisen dat de auditor zorgt voor een deugdelijke grondslag voor de door hem gegeven oordelen en adviezen en voor het verstrekken van relevante informatie omtrent de uitkomsten van de onderzoeken. Daarnaast stelt de GBRO dat de operational auditor zijn rapporten, oordelen en adviezen zorgvuldig moet formuleren en zich steeds bewust moet zijn van de toepasselijkheid van de gehanteerde werkmethoden. De GBRIA stelt in verband met zorgvuldigheid als aanvullende eisen dat de taakopdracht duidelijk omschreven moet zijn, dat de uitgevoerde werkzaamheden zodanig moeten worden vastgelegd dat zij een goed beeld geven van wat er is gedaan en dat deze registratie zeven jaar bewaard moet blijven. In de Code of Ethics staat er niets over zorgvuldigheid. De eisen die daar echter betrekking op hebben zijn echter uitgebreid uitgewerkt in de Standards for the Professional Practice of Internal Auditing (Standards). Vertrouwelijkheid Hoewel de verwoordingen van de GBRO, de GBRIA en de Code of Ethics op dit punt enigszins van elkaar afwijken, stellen alle drie dat de auditor de aan hem verschafte vertrouwelijke, cq. geheime informatie vertrouwelijk moet behandelen cq. geheim houden, tenzij hij door de wet hiervan moet afwijken. Daarnaast eisen alle drie dat de auditor geen misbruik maakt van de aan hem toevertrouwde informatie.

21

Integriteit In de GBRO en de GBRIA wordt de regel met betrekking tot integriteit enkel uitgewerkt in de eis dat de auditor geen functies mag aannemen en geen activiteiten mag uitvoeren die zijn functioneren als auditor zouden kunnen schaden. De Code of Ethics werkt deze regel uitgebreider uit, en eist dat de auditor zijn werk eerlijk, toegewijd en verantwoord moet uitvoeren, dat hij de wet moet naleven, dat hij niet zal deelnemen aan illegale activiteiten of activiteiten die schadelijk kunnen zijn voor het beroep van Internal auditing of de organisatie én dat hij de wettelijke en ethische doelstellingen van de organisatie moet naleven en bevorderen. Ethiek De regel in de GBRO met betrekking tot ethische conflicten geeft aan dat de auditor het bestuur van zijn organisatie moet informeren wanneer hij van mening is dat hij door het uitvoeren van zijn werk, gedrag moet vertonen dat in strijd is met de letter en/of geest van het reglement en hij daardoor zijn geloofwaardigheid en/of integriteit als RO zou schaden. Mocht deze strijdigheid niet naar zijn tevredenheid worden opgelost, dan moet de auditor het bestuur van zijn organisatie en van de VRO gemotiveerd inlichten dat hij niet langer als een bij de VRO geregistreerde operational auditor kan werken. Objectiviteit Deze eis wordt alleen uitgewerkt in de Code of Ethics. De Code of Ethics geeft aan dat de internal auditor geen werkzaamheden mag uitvoeren die ertoe kunnen leiden dat zijn onbevooroordeelde mening geschaad zou kunnen worden, dat hij niets mag aannemen wat zijn professionele beoordeling zou kunnen schaden, en dat hij alle gegevens beschikbaar moet stellen die, als hij dat niet zou doen, de verslaggeving van de uitgevoerde werkzaamheden zou kunnen vertekenen.

4.5 Tot slot In dit hoofdstuk zijn we, evenals bij IT auditing, voor operational auditing ingegaan op de verschillende soorten audits, de aspecten verbonden aan de daadwerkelijke uitvoering van en audit en de auditor. Samenvattend geldt dat wij hebben gezien dat de operational auditor een belangrijke rol vervult bij het verschaffen van aanvullende zekerheid aan het management over de kwaliteit van de beheersing van de organisatie gericht op het bereiken van haar doelstellingen. Vanuit deze gerichtheid op de organisatie, kunnen verschillende objecten van onderzoek worden afgeleid. Deze objecten kunnen betrekking hebben op alles wat binnen de organisatie plaatsvindt en op alles wat de organisatie maakt zoals hij is. Dat wil zeggen van de bedrijfsprocessen tot aan de resultaatdoelstellingen en van specifieke producten tot aan de management informatie. Evenals bij IT auditing, is er ook bij operational auditing sprake van producten procesaudits. Omdat het kan gaan om een grote diversiteit aan objecten, zijn er dien evenredig veel soorten kwaliteitsaspecten die op deze objecten van toepassing kunnen zijn. De meest gehanteerde aspecten zijn echter die van effectiviteit en efficiency. Dit hangt nauw samen met de sterke gerichtheid op het beoordelen van de kwaliteit van de getroffen beheersingsmaatregelen. Beheersingsmaatregelen die het management neemt om de realisatie van de organisatie doelstellingen te bewaken. Hoewel de te hanteren toetsingsnormen voor ieder object zullen verschillen, zijn het COSO-raamwerk en het KAD-model veel gehanteerde algemene normen kaders. Binnen de managementcyclus draagt operational auditing bij aan de uitvoering van het onderdeel Toetsing. Hartog en De Korte (2005) geven aan dat door audit juist expliciet te plaatsen buiten die managementcyclus, het managementproces zelf object van onderzoek wordt. Hiermee zou de auditor echt een wezenlijke bijdrage kunnen leveren aan de ‘ín-control’ verklaring. Gezien het nog relatief korte bestaan van het vakgebied én zijn inherent brede focus op de organisatie, is deze uitbreiding van onderzoeksobjecten niet onaannemelijk. In het volgende hoofdstuk zullen wij datgene wat wij in dit en vorig hoofdstuk hebben behandeld met elkaar vergelijken. Hiermee zullen wij een antwoord proberen te geven op het tweede gedeelte van de eerste subvraag, namelijk: “Welke verschillen en overeenkomsten bestaan er tussen de aspecten die een rol spelen bij de uitvoering van IT en operational audits?”.

22

5 Het verschil en de overeenkomsten tussen IT en operational auditing

5.1 Inleiding In Hoofdstuk 2 hebben wij met betrekking tot auditing in het algemeen aandacht besteed aan de diverse soorten audits, de algemene aspecten die zijn verbonden aan de daadwerkelijke uitvoering van een audit en aan de auditor. In de voorgaande twee hoofdstukken zijn wij vervolgens voor respectievelijk IT en operational auditing dieper ingegaan op die elementen uit de eerder genoemde drie onderdelen waarvan wij verwachtten dat ze zouden verschillen voor IT en operational auditing. Het betrof de soorten audits, de objecten, de kwaliteitsaspecten, de normen, de beroepsorganisaties en de eisen die deze organisaties stellen aan hun leden. In dit hoofdstuk behandelen wij ten behoeve van de beantwoording van de eerste subvraag, op basis van de voorgaande drie hoofdstukken, de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits. Omdat wij bij beide vakgebieden hebben gezien dat de te onderscheiden soorten audits een directe samenhang vertonen met de objecten van onderzoek, zullen wij in dit hoofdstuk niet verder ingaan op de soorten audits. Wel zullen wij bij de behandeling van de objecten van onderzoek het onderscheid tussen proces- en productaudits terug laten komen.

5.2 Objecten van onderzoek Bij de eerdere behandeling van de definities van IT en operational auditing hebben wij aangegeven dat wij in deze scriptie de volgende twee definities hanteren: IT auditing: “Het vakgebied dat zich bezighoudt met de beoordeling en advisering bij objecten van de informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering. Het doel hiervan is kwalitatief en/of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever gerealiseerd worden” (Van Praat en Suerink, 2004). Operational auditing: “Het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex aan beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingskaders die door het bovenliggende managementniveau zijn geformuleerd” (Driessen en Molenkamp, 2004). Een vergelijking van definities laat zien dat in de definitie van IT auditing het object van onderzoek wordt omschreven als “objecten van de informatievoorziening in een omgeving waar gebruikt wordt gemaakt van de automatisering” en bij operational auditing “de inrichting en werking van de kwaliteit van het gehele complex aan beheersingsmaatregelen dat het management treft”. Anders gezegd, op basis van deze definities zou IT auditing zich richten op de informatiesystemen en operational auditing op de beheersingsmaatregelen. Dit is natuurlijk een wel erg vereenvoudigde en beperkte weergave van de onderzoeksobjecten. Dit blijkt ook als we kijken naar de eerder genoemde specifieke objecten van onderzoek. Onderstaand overzicht toont aan dat IT en operational auditing dezelfde soort proces- en productaudits uitvoeren. Beide vakgebieden voeren namelijk procesaudits uit naar de strategie van de organisatie, de inrichting van de bedrijfsprocessen, weten regelgeving en de beheersing van de organisatie. Tevens voeren beide vakgebieden productaudits uit naar projecten, specifieke producten en processen en forensische audits. Bij operational auditing staat bij productaudits alleen als aanvullend audit object genoemd, de realisatie van de organisatiedoelstellingen. Het is echter zeer aannemelijk dat dit ook een object van onderzoek is bij IT auditing. Immers, zoals we in de definitie voor IT auditing zagen is het leveren van een bijdrage aan de adequate organisatie van de informatievoorziening ten behoeve van de realisatie van de organisatiedoelstellingen een belangrijke reden voor het uitvoeren van een IT audit.

23

IT auditing Operational auditing Proces- audit

Strategie van de organisatie Strategie van de organisatie Inrichting van de bedrijfsprocessen: - Processen binnen systeem ontwikkeling, - Processen m.b.t. beheer technische infrastructuur

Inrichting van de bedrijfsprocessen

Wet- en regelgeving Wet- en regelgeving Beheersing van de IT organisatie: - Organisatie en structuur van systeem ontwikkeling; - Organisatie en beheer van technische infrastructuur - Organisatie m.b.t. toegangsbeveiliging

Beheersing van de organisatie of een afdeling

Product- audit Projectrealisatie Projectrealisatie Realisatie organisatiedoelstellingen Producten: - Computerprogramma’s; - Besturingssystemen; - Databases; - Datacommunicatie systemen

Producten: - Organisatiespecifieke producten

Uitvoering van specifieke processen: - Externe en logische toegangsbeveiliging; - Fysieke beveiliging

Uitvoering van specifieke processen: - Organisatiespecifieke processen; - Logische toegangsbeveiliging; - Fysieke beveiliging

Forensische audit Forensische audit Figuur 4: De objecten van onderzoek bij IT en operational auditing Als wij verder kijken naar de meer concrete uitwerking van de objecten in dit overzicht, dan lijken zij op het eerste oog bij de twee vakgebieden meer verschil te vertonen. De reden hiervan is dat een aantal objecten niet op dezelfde manier worden uitgewerkt of geconcretiseerd: Bij IT auditing worden de objecten inrichting van de bedrijfsprocessen en beheersing van de organisatie of een afdeling bijvoorbeeld wel geconcretiseerd, maar bij operational auditing niet. Bovendien worden bij beide vakgebieden de objecten producten en uitvoering van specifieke processen anders uitgewerkt. Ook deze verschillen in specificaties die wij in de onderzochte literatuur hebben aangetroffen, zullen in de praktijk niet werkelijk zo strikt van toepassing zijn. Dat wil zeggen dat de verdere uitwerkingen van de objecten inrichting van de bedrijfsprocessen en beheersing van de organisatie of een afdeling zoals die zijn genoemd bij IT auditing evengoed van toepassing kunnen zijn voor operational auditing en er anderzijds uitwerkingen zijn te noemen voor operational auditing die op hun beurt ook van kracht kunnen zijn voor IT auditing. De reden hiervan is dat bij een (operational) audit naar de inrichting van de bedrijfsprocessen of de beheersing van de organisatie IT een zeer wezenlijk onderdeel van de audit zal uitmaken. Bij het uitvoeren van een operational audit naar bijvoorbeeld de bedrijfsprocessen, kunnen de ondersteunende systemen namelijk niet buiten beschouwing worden gelaten en bij een audit naar de totstandkoming van een organisatiespecifiek product zal ook gekeken moeten worden hoe het productie proces wordt beïnvloed door de systemen. Aangezien IT van nature onderdeel is van een groter geheel, namelijk van de organisatie die zij ondersteunt, zal bij een IT audit nooit alleen naar de IT specifieke objecten worden gekeken, maar zullen ook aanverwante aspecten onderdeel van de audit uitmaken. Zoals de bedrijfsprocessen die de systemen ondersteunen, de gebruikersorganisatie waarop de beveiligingsinstellingen betrekkingen hebben en de strategie van de organisatie als geheel welke bepaalt hoe men IT wil inzetten. Op basis van bovenstaande kunnen we derhalve concluderen dat de onderzoeksobjecten bij IT en operational auditing sterk overeenkomen, ondanks dat ze vanuit een verschillende optiek starten. Namelijk IT auditing vanuit de informatiesystemen en de organisatie omtrent de informatiesystemen, en operational auditing vanuit de organisatie en de bedrijfsvoering in het algemeen.

5.3 Aspecten Auditing is het vanuit een bepaalde invalshoek toetsen van de werkelijkheid aan vooraf opgestelde objectieve normen. Deze invalshoek bestaat uit de aspecten die binnen een audit worden gehanteerd. Zoals we al hadden gezien, geldt dit voor alle soorten van auditing, dus ook voor IT en operational auditing.

24

Onderstaand figuur geeft een weergave van de aspecten die volgens de door ons geraadpleegde literatuur een rol spelen bij IT en operational auditing:

IT auditing Operational auditing Effectiviteit (onderhoudbaarheid, herbruikbaarheid en geschiktheid) van de infrastructuur

Effectiviteit van de beheersingsmaatregelen

Efficiency (gebruikersvriendelijkheid en flexibiliteit) van de systemen

Efficiency van de beheersingsmaatregelen

Continuïteit (herstelbaarheid en uitwijkmogelijkheid) van de gegevensverwerking

Continuïteit van de processen

Flexibiliteit van de processen Betrouwbaarheid (juistheid, tijdigheid en volledigheid) van de informatie

Betrouwbaarheid (juistheid, tijdigheid en volledigheid) van de informatie

Toegankelijkheid van de informatie Doorlooptijd van het productieproces Veiligheid van medewerkers en eigendommen

Figuur 5: De aspecten bij IT en Operational auditing Uit dit overzicht blijkt dat de aspecten effectiviteit, efficiency, continuïteit en betrouwbaarheid zowel bij IT als bij operational auditing worden genoemd en dat bij operational auditing een aantal aanvullende aspecten zijn opgenomen, namelijk flexibiliteit, toegankelijkheid, doorlooptijd en veiligheid. Deze overlap of het niet genoemd zijn van bepaalde aspecten kan echter niet direct als een verschil of overeenkomst worden beschouwd. Hoewel niet genoemd bij IT auditing, zullen namelijk de aspecten flexibiliteit, toegankelijkheid en veiligheid ook bij IT auditing van toepassing zijn wanneer naar de objecten processen, informatie en medewerkers wordt gekeken. Evengoed als bij operational auditing. Eigenlijk is het zelfs niet mogelijk beide vakgebieden te vergelijken wat betreft aspecten zonder het onderzoeksobject bij deze vergelijking te betrekken. Aangezien een aspect zijn daadwerkelijke betekenis ontleent aan het object waarop het van toepassing is. Met betrekking tot het object IT infrastructuur zal het aspect effectiviteit namelijk niet dezelfde betekenis hebben als met betrekking tot het object beheersingsmaatregelen: Daar waar een effectieve infrastructuur gekenmerkt wordt door een sterke mate van onderhoudbaarheid, herbruikbaarheid en geschiktheid, zal een effectieve beheersingsmaatregel met name gekenmerkt worden door geschiktheid. Dit is ook precies de reden waarom Van Praat en Suerink kwaliteitsaspecten verder uitwerken in kwaliteitsattributen. Hoewel het dus op basis van het overzicht lijkt alsof de aspecten bij IT en operational auditing verschillen vertonen, is het maken van een dergelijke vergelijking alleen mogelijk als een aspect in directe relatie met het te onderzoeken object wordt gezien. Dit betekent dat het maken van een vergelijking tussen de twee vakgebieden eigenlijk niet gerechtvaardigd is, tenzij deze vergelijking gekoppeld wordt aan een specifiek object. Maar wanneer een bepaald aspect in relatie tot hetzelfde object bij een IT en bij een operational audit wordt gebruikt, blijkt er wat betreft het aspect geen sprake te zijn van een verschil tussen IT en operational auditing.

5.4 Normen Zoals we reeds hebben aangegeven zijn normen noodzakelijk om een audit te kunnen uitvoeren. Normen zijn nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Normen kunnen worden ontleend aan zowel interne als externe bronnen. Het audit object wordt dan ook beoordeeld op basis van normen. In onderstaand figuur hebben we de algemeen geldende normen voor IT auditing en operational auditing weergegeven zoals we die eerder hebben behandeld:

IT auditing Operational auditing CobiT COSO-raamwerk ITIL KAD-model Code voor Informatiebeveiliging EFQM-/INK-model CMM Business Balanced Scorecard Prince2

Figuur 6: De normen bij IT en operational auditing

25

De algemene normen die gehanteerd worden door de IT auditor en de operational auditor zijn daadwerkelijk verschillend. De normen die bij IT auditing worden gehanteerd zijn vooral gericht op de IT. Zo vindt bijvoorbeeld CobiT zijn oorsprong vanuit het oogpunt van het beheren van de informatietechnologie en is ITIL een beheermethodiek die gebruikt wordt in IT organisaties. Normenkaders gebaseerd op CobiT en ITIL zijn vooral geschikt voor proces audits, zoals de General IT Controls audits. De algemene normen die gehanteerd worden bij operational auditing zijn gericht op de beheersing van de bedrijfsvoering en de bedrijfsprocessen in het algemeen. Het COSO-raamwerk is bijvoorbeeld met name van toepassing voor de organisatiebeheersing, terwijl het KAD-model zich richt op procesbeheersing. Naast Proces audits vinden er binnen IT audit ook specialistische IT audits plaats, bijvoorbeeld naar de operating systems. Deze audits zijn product gericht, waarbij geen algemene normen gehanteerd kunnen worden, behalve ten aanzien van de informatiebeveiliging. Evenals bij IT auditing, zal ook bij een product gerichte operational audit geen gebruik gemaakt kunnen worden van algemene normen maar zullen de normen op het betreffende product moeten worden afgestemd. Hoewel vanuit de literatuur de normenkaders van IT auditing en operational auditing verschillen, betekent het natuurlijk niet dat de IT en operational auditor niet ‘elkaars’ normen kunnen gebruiken. Alles hangt af van welk object zij willen beoordelen. Indien een operational auditor een IT-matig proces wil beoordelen, zal ook voor hem een (algemene) IT norm het meest geschikt zijn. En wanneer een IT auditor naar algemene organisatie aspecten wil kijken zou bijvoorbeeld COSO geschikt kunnen zijn. Het normenkader gebaseerd op Prince2 kan ook door zowel een IT als een operational auditor worden gebruikt. Zoals reeds aangegeven is Prince2 een project methodiek en deze wordt niet specifiek binnen de IT gebruikt. Een dergelijk normenkader is derhalve geschikt voor het auditen van ieder project, met of zonder IT componenten.

5.5 Audit fases Zoals beschreven in Hoofdstuk 2 kent ieder type audit een aantal fases, ongeacht of het een IT of een operational audit betreft. De in dat hoofdstuk beschreven fases zijn gebaseerd op het zes stappenmodel van Driessen en Molenkamp (2004) en zijn van toepassing voor zowel IT als operational auditing. De zes stappen, of fases, zien er daarbij als volgt uit:

1. De planningfase: Hierin wordt de jaarplanning gemaakt, met daarin de objecten van onderzoek, de auditees, de audit doelstellingen, wanneer de audits moeten worden uitgevoerd en de benodigde audit capaciteit;

2. De vooronderzoekfase: Het ten behoeve van een specifieke audit verzamelen van informatie over bijvoorbeeld het beleid van de organisatie, de aan het onderzoeksobject gestelde eisen en de kaderstellingen zoals de regelgeving. Tijdens deze fase wordt ook de audit aangekondigd bij de proceseigenaar;

3. De veldwerkfase: Het verzamelen van gegevens welke nodig zijn om de bevindingen te formuleren, conclusies te trekken en aanbevelingen ter verbetering te kunnen doen;

4. De rapportagefase: Het opstellen van het rapport met daarin de bevindingen, conclusies, aanbevelingen en een actieplan voor het management. In deze fase wordt tevens in overleg met de auditees, de proceseigenaar en de opdrachtgever vastgesteld of de bevindingen van de auditors correct en volledig zijn;

5. De evaluatiefase: De evaluatie vanuit de audit afdeling zelf, ten aanzien van de uitgevoerde audit en de feitelijke inhoud van de audit;

6. De follow-up: Het controleren of het actieplan daadwerkelijk is uitgevoerd door het verantwoordelijk management.

26

5.6 De auditor De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de auditors opereren. In Hoofdstuk 3 hebben we reeds aangegeven dat de NOREA de beroepsorganisatie is voor IT auditors. De NOREA waakt over de deskundigheid van haar leden en bindt hen tevens aan regels voor de beroepsuitoefening. In Hoofdstuk 4 hebben we beschreven dat voor de operational auditors de Vereniging van Register Operational auditors (VRO) de meest direct aangewezen beroepsorganisatie is. Hoewel ook de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL) zich sterk richt op operational auditors. Dit komt tot uiting in de integratieovereenkomst die in maart 2007 is afgesloten tussen de VRO en de IIA NL. In de Gedrags- en Beroepsregels Register Operational auditors (GBRO) geeft de Vereniging van Register Operational auditors de regels aan die gelden voor haar leden. De IIA NL heeft zowel haar regels verwoord in haar Gedrags- en Beroepsregels Internal Auditors (GBRIA) als in de Code of Ethics. Onderstaand figuur geeft een overzicht van de eisen die vanuit deze beroepsorganisaties aan de IT en operational auditors worden gesteld:

IT auditing Operational auditing Integriteit Integriteit Objectiviteit Objectiviteit Deskundigheid Deskundigheid Zorgvuldigheid Zorgvuldigheid Geheimhouding Vertrouwelijkheid Professioneel gedrag Ethiek

Figuur 7: De eisen aan de IT en operational auditors vanuit de beroepsverenigingen Integriteit Zowel de Code of Ethics van de IIA NL en de NOREA als de GBRO en de GBRIA spreken over Integriteit. De Code of Ethics van de NOREA geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in beroepsmatige en zakelijke betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet volledig is of op meerdere manieren op te vatten is. In de GBRO en de GBRIA wordt de regel met betrekking tot integriteit enkel uitgewerkt in de eis dat de auditor geen functies mag aannemen en geen activiteiten mag uitvoeren die zijn functioneren als auditor zouden kunnen schaden. De Code of Ethics van de VRO werkt deze regel uitgebreider uit, en eist dat de auditor zijn werk eerlijk, toegewijd en verantwoord moet uitvoeren, dat hij de wet moet naleven, dat hij niet zal deelnemen aan illegale activiteiten of activiteiten die schadelijk kunnen zijn voor het beroep van Internal auditing of de organisatie én dat hij de wettelijke en ethische doelstellingen van de organisatie moet naleven en bevorderen. De richtlijnen van de NOREA, van de VRO en van de IIA NL komen dus sterk overeen in hun eisen ten aanzien van integriteit: allen geven aan dat de auditors eerlijk, toegewijd en verantwoord moeten optreden in beroepsmatige en zakelijke betrekkingen. De Code of Ethics van de VRO gaat alleen een stap verder door te stellen dat de auditor de wet moet naleven, niet mag deelnemen aan illegale activiteiten of activiteiten die schadelijk kunnen zijn voor het beroep van auditor. Objectiviteit De Code of Ethics van de NOREA stelt dat de IT auditor het niet mag accepteren dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt. De Code of Ethics van de IIA NL geeft aan dat de internal auditor geen werkzaamheden mag uitvoeren die ertoe kunnen leiden dat zijn onbevooroordeelde mening geschaad zou kunnen worden, dat hij niets mag aannemen wat zijn professionele beoordeling zou kunnen schaden, en dat hij alle gegevens beschikbaar moet stellen die, als hij dat niet zou doen, de verslaggeving van de uitgevoerde werkzaamheden zou kunnen vertekenen. De GBRO en de GBRIA geven geen richtlijnen ten aanzien van objectiviteit. De Code of Ethics van de NOREA en de IIA NL geven dus beiden richtlijnen ten aanzien van objectiviteit door in te gaan op vooroordelen, belangentegenstelling en de professionele oordeelsvorming.

27

Deskundigheid De Code of Ethics van de NOREA stelt dat de IT auditor zijn deskundigheid en vaardigheid op een niveau moeten houden dat noodzakelijk is om diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. Zowel de GBRO als de GBRIA stellen dat de auditor er voor moet zorgen dat zijn vaktechnische kennis en vaardigheden van voldoende niveau zijn en blijven en dat de auditor zijn werk in overeenstemming met de vaktechnische normen en standaarden uitvoert. De Code of Ethics van de IIA NL daarentegen werkt de eis van deskundigheid uit door te stellen dat de Internal auditor alleen die opdrachten mag vervullen waarvoor hij voldoende kennis, vaardigheden en ervaring bezit, dat hij zijn werk zo veel mogelijk moet uitvoeren in overeenstemming met de International Standards for the Professional Practice of Internal Auditing van de IIA en dat hij voortdurend moet zorgen voor kwaliteitsverbetering. Uit voorgaande blijkt dat de richtlijnen ten aanzien van deskundigheid grotendeels overeenkomen. Zij stellen namelijk allen dat de auditor alleen opdrachten mag vervullen waarvoor hij/zij voldoende kennis, vaardigheden en ervaring bezit, inclusief ten aanzien van het objectgebied waarop de audit zich richt. Zorgvuldigheid De Code of Ethics van de NOREA stelt dat de IT auditor zorgvuldig dient te handelen bij het verlenen van diensten en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften. Zowel de GBRO als de GBRIA eisen dat de auditor zorgt voor een deugdelijke grondslag voor de door hem gegeven oordelen en adviezen, en voor het verstrekken van relevante informatie omtrent de uitkomsten van de onderzoeken. Daarnaast stelt de GBRO dat de operational Auditor zijn rapporten, oordelen en adviezen zorgvuldig moet formuleren en zich steeds bewust moet zijn van de toepasselijkheid van de gehanteerde werkmethoden. De GBRIA stelt in verband met zorgvuldigheid als aanvullende eisen dat de taakopdracht duidelijk omschreven moet zijn, dat de uitgevoerde werkzaamheden zodanig moeten worden vastgelegd dat zij een goed beeld geven van wat er is gedaan en dat deze registratie zeven jaar bewaard moet blijven. De Code of Ethics van de IIA NL daarentegen geeft geen richtlijnen ten aanzien van zorgvuldigheid, maar geeft een verwijzing naar een uitgebreide uitwerking in de Standards for the Professional Practice of Internal Auditing. Bij de vergelijking van de richtlijnen van de NOREA, de GBRO en de GBRIA ten aanzien van zorgvuldigheid valt op dat de richtlijn in de Code of Ethics van de NOREA veel algemener is gesteld dan de richtlijnen zoals deze zijn opgesteld in de GBRO en de GBRIA. Geheimhouding / Vertrouwelijkheid De Code of Ethics van de NOREA stelt dat de IT auditor een geheimhoudingsplicht heeft ten aanzien van zijn sociale relaties, de audit organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een cliënt of organisatie. De NOREA geeft geen specifieke richtlijnen ten aanzien van vertrouwelijkheid. De Code of Ethics van de IIA NL stelt dat de auditor de aan hem verschafte vertrouwelijke, cq. geheime informatie vertrouwelijk moet behandelen cq. geheim houden, tenzij hij door de wet hiervan moet afwijken. Bestudering van de verschillende richtlijnen ten aanzien van geheimhouding en verklaring laat zien dat de gehanteerde benamingen weliswaar verschillen, maar dat de betekenissen grotendeels gelijk zijn. Namelijk: de IT en de operational auditors moeten de aan hen toevertrouwde informatie vertrouwelijk behandelen cq. geheim houden. Professioneel Gedrag / Ethiek De Code of Ethics van de NOREA stelt dat de IT auditor zich dient te houden aan de relevante weten regelgeving en zich moet onthouden van handelingen die het audit beroep in diskrediet kunnen brengen. De regel van de VRO met betrekking tot ethische conflicten geeft aan dat de auditor het bestuur van zijn organisatie moet informeren wanneer hij van mening is dat hij door het uitvoeren van zijn werk gedrag moet vertonen dat in strijd is met de letter en/of geest van het reglement en hij daardoor zijn geloofwaardigheid en/of integriteit als RO-er zou schaden. Mocht deze strijdigheid niet naar zijn tevredenheid worden opgelost, dan moet de auditor het

28

bestuur van zijn organisatie en van de VRO gemotiveerd inlichten dat hij niet langer als een bij de VRO geregistreerde operational auditor kan werken. Ook bij deze eis verschillen de benamingen, maar in dit geval vertonen ook de uitwerkingen van de richtlijnen verschillen. De NOREA geeft aan dat de auditor zich moet houden aan relevante weten regelgeving, terwijl de VRO aangeeft welke stappen een auditor moet ondernemen in het geval van een ethisch conflict. Concluderend kunnen we stellen dat de eisen vanuit de beroepsorganisaties, ondanks een aantal afwijkingen, over het algemeen sterk overeenkomen en dat er vandaar uit dus weinig verschillen zijn ten aanzien van de wijze waarop de IT en operational auditors geacht worden te acteren. Opvallend in dit verband, is de integratie overeenkomst tussen de VRO en IIA is. Hoewel de IIA gericht is op internal auditors, en daarmee dus ook op IT auditors, lijkt de IIA zich door deze samenwerking met name te richten op operational auditors. Een nadere bestudering van de eisen vanuit de drie beroepsorganisaties laat zien dat er in ieder geval op dat vlak weinig belemmering is voor een eventuele aansluiting van de NOREA.

5.7 Tot slot In dit hoofdstuk hebben wij de uitkomsten van het literatuuronderzoek, zoals behandeld in de voorgaande drie hoofdstukken, met elkaar in verband gebracht. Dit hebben wij gedaan teneinde een antwoord te geven op de eerste subvraag. Namelijk wat de verschillen en overeenkomsten zijn in de aspecten die een rol spelen bij de uitvoering van IT en operational audits. Wat betreft deze aspecten hebben wij ons in het bijzonder gericht op de objecten, de kwaliteitsaspecten, de normen, de audit fases en de auditor. Uit deze analyse kwam het volgende naar voren:

• De objecten komen bij beide vakgebieden sterk overeen, alleen is de optiek van waaruit zij deze objecten benaderen anders. Beiden kijken namelijk naar de organisatie, de bedrijfsvoering, de producten en de beheersing daarvan, alleen benadert IT auditing dit alles vanuit de informatiesystemen en operational auditing vanuit de organisatie in het algemeen;

• Aspecten moeten worden bezien in relatie tot het object waar zij betrekking op hebben. Wanneer een aspect bij IT en operational auditing betrekking heeft op een zelfde object, is er op dit vlak geen verschil tussen beide vakgebieden;

• Behalve Prince2 dat een projectenmethodiek is, verschillen de algemene normenkaders bij IT en operational auditing. Deze normenkaders komen namelijk voort uit methodieken die worden gehanteerd ten aanzien van specifieke onderwerpen, en deze onderwerpen zijn IT dan wel organisatie algemeen georiënteerd. Afhankelijk van het te toetsen object kunnen de twee vakgebieden wel goed elkaars algemene normenkaders gebruiken;

• De audit fases zijn universeel en daarmee dus ook gelijk bij IT en operational auditing; • De eisen die de beroepsorganisaties stellen ten aanzien van de auditors vertonen sterke

overeenkomsten. Daar waar er verschillen zijn, dan betreft het de benaming (geheimhouding versus vertrouwelijkheid) of de kracht van de eis (moeten voldoen aan weten regelgeving versus hoe te handelen bij een ethisch conflict).

Het antwoord op de eerste subvraag luidt derhalve dat een groot aantal van de aspecten die een rol spelen bij de uitvoering van IT en operational audits sterke overeenkomsten vertonen bij beide disciplines. Het betreft de objecten, de aspecten gerelateerd aan deze objecten, de audit fases en een groot aantal van de door de beroepsorganisaties aan de auditors gestelde eisen. De geconstateerde verschillen betreffen de optiek van waaruit de onderzoeksobjecten worden benaderd, de algemene normenkaders en de benaming en invulling van sommige eisen zoals de beroepsorganisaties die aan de auditors stellen. In het volgende hoofdstuk zullen wij deze uitkomsten mede gebruiken voor de beantwoording van de tweede subvraag, namelijk: “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie?”.

29

6 Resultaten praktijkonderzoek

6.1 Inleiding In aanvulling op ons literatuuronderzoek hebben wij een praktijkonderzoek uitgevoerd. Het doel van dit praktijkonderzoek is het in beeld brengen van hoe er wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie. Zoals wij in het vorige hoofdstuk hebben gezien, blijken er vanuit de literatuur met name overeenkomsten en een aantal kleinere verschillen onderscheiden te kunnen worden in de aspecten die een rol spelen bij de uitvoering van IT en operational audits. Om vast te kunnen stellen welke invloed deze aspecten hebben op de wijze waarop de interne audit functies worden ingericht, hebben wij een (klein) praktijkonderzoek uitgevoerd. Dit praktijkonderzoek bestond uit het houden van een interview bij een organisatie mét en een organisatie zonder scheiding tussen IT en operational audit functies. Wij hebben ervoor gekozen om bij beide organisaties te spreken met een persoon die nauw betrokken is bij het bepalen van de wijze waarop auditors worden ingezet binnen de interne audit organisatie. Met deze opzet hebben wij ons gericht op de meer tactisch, operationele aspecten die voortvloeien uit de inrichting van de interne audit functie. Als organisaties hebben wij twee verschillende typen organisaties gekozen, namelijk een bank en een overheidsdienst. In dit hoofdstuk zullen wij bespreken hoe wij de interviews hebben opgezet, wat de uitkomsten zijn van deze gesprekken en wat de betekenis van deze resultaten is voor de beantwoording van onze tweede subvraag.

6.2 Vragenlijst interviews De vragenlijsten die wij bij de twee interne audit diensten hebben afgenomen, hebben wij zoveel mogelijk laten aansluiten op de eerder besproken aspecten die een rol spelen bij de uitvoering van een audit en de eisen die worden gesteld aan de auditors. Het betreft vragen of er sprake is van een expliciet onderscheid tussen IT en operational auditors, hoe de audit planning plaatsvindt, welke normen er worden gehanteerd en welke opleidingseisen er worden gesteld aan de auditors. Omdat de focus van het praktijkonderzoek ligt op de inrichtingskeuze van de audit functies, hebben wij geen expliciete vragen opgenomen met betrekking tot de audit objecten, de kwaliteitsaspecten en de eisen aan de auditors vanuit de beroepsorganisaties. De reden hiervoor is dat de objecten indirect aan de orde komen bij de behandeling van de interne audit organisatie. Met betrekking tot de kwaliteitsaspecten geldt dat ze afhankelijk zijn van het betreffende object van onderzoek in de audit en het daarop ingaan te ver gaat voor dit praktijkonderzoek. Voor de eisen ten aanzien van de auditors richten wij ons op de opleidingseisen vanuit de organisaties. Het is mogelijk dat algemene aspecten als geografische spreiding van bedrijfsactiviteiten en de omvang van de IT organisatie een rol spelen bij de inrichting van de interne audit functies. Om deze reden hebben wij eerst algemene vragen gesteld over de organisatie in het algemeen en vervolgens over de interne audit organisatie in het bijzonder. Voor een volledig overzicht van de gebruikte vragenlijst verwijzen wij naar Bijlage A.

6.3 Resultaten praktijkonderzoek Zoals eerder aangegeven hebben wij interviews gehouden met de leidinggevenden van een organisatie met én een organisatie zonder onderscheid in IT en operational audit functies. De eerste betrof de ABN AMRO Bank, de tweede het Ministerie van Justitie. Hieronder volgen de belangrijkste uitkomsten van de interviews. Voor een volledige weergave van de gesprekken, verwijzen wij naar de gespreksverslagen in bijlagen B1 en B2. 6.3.1 Organisatie algemeen en interne audit organisatie Om een beeld te krijgen van de audit organisaties hebben wij eerst een aantal meer algemene vragen gesteld. Deze vragen zijn onder meer gericht op de grootte van de audit afdeling, de geografische dekking en of er een scheiding is tussen IT audit en operational audit.

30

Schematisch zien de resultaten met betrekking tot de inrichting van de interne audit organisaties er als volgt uit:

Group Audit ABN AMRO Departementale Audit Dienst Mi nisterie van Justitie

Organisatie algemeen Type organisatie Financiële instelling Overheidsinstelling Aantal medewerkers Tussen 80.000 en 100.000 medewerkers Ongeveer 40.000 medewerkers Geografische dekking Wereldwijd Nederland Rol IT IT centrale rol tav bedrijfsprocessen IT primaire rol tav bedrijfsprocessen Aantal rekencentra Meerdere rekencentra wereldwijd verspreid 4 rekencentra in Nederland IT in huis of ge-outsourced

IT ge-outsourced (beheer) en ge-offshored (ontwikkeling)

Beheer IT in huis. De systemen voor de salarisadministratie ge-outsourced en ondersteuning en ontwikkeling applicaties ingekocht

Interne audit organisatie Grootte audit afdeling 850 medewerkers 40 medewerkers Aantal IT auditors 97 medewerkers 3.5 FTE audit pool Scheiding operational en IT audit

Wel scheiding Geen scheiding

Type uitgevoerde audit • Audits op bestaande situatie, bijv. bedrijfsprocessen en functionele gebieden;

• Audits op veranderingen; • Sox testen; • Speciale onderzoeken; • Due diligence onderzoeken.

• Thema audits; • Project audits; • Jaarrekening controles; • Adviesopdrachten; • Speciale onderzoeken, naar bijv. ketens en

integriteit. Uitvoering technische audits Door (technical) IT auditors Door (specialistische) EDP auditors Uitvoering General IT Control audits

Door (technical) IT auditors Door EDP auditors

Uitvoering logische toegangsbeveiliging audit

• Opzet en bestaan door IT en operational auditors vanuit veranderingsaudits;

• Werking door operational auditors.

Door EDP auditors

Gezamenlijke audits • Landen audits; • Speciale projecten, zoals Basel II

Ja, aangezien geen scheiding IT en operational audit.

Figuur 8: Overzicht van de organisaties in het algemeen en de interne audit organisaties van ABN AMRO en het Ministerie van Justitie

Group Audit ABN AMRO De audit afdeling van de ABN AMRO, ‘Group Audit’, bestaat uit 850 medewerkers, waaronder 97 IT auditors. Group Audit bestaat uit een centrale audit afdeling, plus de regionale audit afdelingen die zorgen voor de locale dekking in elke regio waar ABN AMRO actief is. Bij de interne audit organisatie van de ABN AMRO is bewust gekozen voor een scheiding tussen de operational auditors en de IT auditors. De motivatie voor de scheiding is tweeledig:

1. De operational auditors zijn generalisten die niet zo’n diepgaande kennis van systemen op kunnen doen als de IT auditors;

2. De technical auditors kunnen de gap met de business niet dichten. Binnen IT audit is er sprake van een tweetal disciplines, namelijk system audit en technical IT audit. De system auditors zijn verantwoordelijk voor het auditen van de applicaties en de technical IT auditors voor het auditen van de infrastructurele componenten en de General IT Controls. Met betrekking tot operational audit kan gezegd worden dat er in alle regio’s generalisten zitten, en die generalisten zijn de operational auditors. Zij zijn meer werkwijze georiënteerd dan een specialist op een bepaald gebied. Bij IT audit is dat anders, daar heb je juist wel specialisten. Binnen Group Audit worden de audits naar de General IT Controls in principe uitgevoerd door de technical IT auditors. Wanneer system auditors General IT Controls meenemen in hun audits dienen zij met de technical auditors af te stemmen en te toetsen of het nodig is dat zij dat doen en of zij het op de juiste wijze doen. Naast de audits op de bestaande situatie vinden er ook veranderingsaudits plaats. Deze audits worden door IT en operational auditors gezamenlijk uitgevoerd, evenals landen audits en audits naar speciale projecten. De opzet en

31

bestaan van de logische toegangsbeveiliging wordt veelal getoetst vanuit een veranderingsaudit. De werking van de logische toegangsbeveiliging wordt primair getoetst door de operational auditors. De jaarrekening controle wordt door externe audit organisaties uitgevoerd. Departementale Audit Dienst Ministerie van Justitie Bij de interne audit dienst van het Ministerie van Justitie, de ‘Departementale Audit Dienst’, werken ongeveer 40 medewerkers. Daarnaast kunnen ze aanspraak maken op 3.5 FTE uit de EDP audit pool en is er budget beschikbaar voor het inhuren van externen. De audit dienst is ingedeeld in een drietal (klantgerichte) clusters. Bij de Departementale Audit Dienst is er bewust voor gekozen om geen scheiding tussen operational en IT audit te hebben, aangezien dat beter is voor de carrière mogelijkheden van de auditors. Als voordelen voor de scheiding worden onder andere genoemd de mogelijkheid van het uitvoeren van geïntegreerde audits en het klantgericht, in plaats van productgericht, inrichten van de audit functie. Nadelen die worden genoemd zijn het moeilijk onderhouden van kennis en het ontbreken van inzicht in de optimale inzet van de (kennis van de) medewerkers. Hoewel er bij de Departementale Audit Dienst geen functioneel onderscheid is tussen IT en operational auditors, worden audits waarbij specialistische IT kennis nodig is toch voornamelijk uitgevoerd door IT auditors. De audits naar General IT Controls worden uitgevoerd door de IT auditors van de Departementale Audit Dienst. Het komt zelden voor dat een operational auditor een audit naar General IT Controls uitvoert. Hetzelfde geldt voor de logische toegangsbeveiliging. Er worden vrij veel project audits uitgevoerd en tevens vindt de jaarrekening controle plaats. Deze laatste wordt vooral door extern ingehuurde auditors uitgevoerd. 6.3.2 Normen Onderstaand overzicht geeft schematisch weer welke normenkaders de twee audit diensten gebruiken:

Group Audit ABN AMRO Departementale Audit Dienst Mi nisterie van Justitie Algemene normenkaders IT audit: CobiT

Operational audit: COSO ITIL, CobiT en COSO

Interne normenkaders Interne ABN AMRO regels Voorschrift Informatiebeveiliging Rijksdienst (VIR) Handboek Auditing Rijksoverheid

Audit programma’s Standaard, centraal opgestelde audit programma’s toegesneden op audit

Geen standaard audit programma’s

Figuur 9: Overzicht van de gebruikte normenkaders binnen ABN AMRO en het Ministerie van Justitie Group Audit ABN AMRO Bij Group Audit vindt iedere audit plaats op basis van een, op de audit toegesneden, audit programma. Bij operational audit wordt COSO als algemeen normenkader gebruikt. Bij IT audit wordt CobiT als vertrekpunt en als referentie voor de toetsing van de volledigheid van het audit programma gebruikt. In beide gevallen geldt dat deze algemene normenkaders niet worden gehanteerd als richtinggevende normen. Andere toetsingscriteria die binnen ABN AMRO Bank worden gebruikt zijn de eigen ABN AMRO regels, algemene sound practices zoals ITIL, de richtingbepalende criteria die komen van de Nederlandse Vereniging van Banken en de sound practices uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA. Departementale Audit Dienst Ministerie van Justitie Bij de Departementale Audit Dienst worden als algemeen normenkader ITIL, CobiT en COSO gehanteerd. Daarnaast is er het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Dit is het interne normenkader dat is gebaseerd op de Code voor Informatiebeveiliging. De Departementale Audit Dienst maakt geen gebruik van standaard audit programma’s. Wel is er een handboek Auditing Rijksoverheid waarin richtlijnen zijn opgenomen voor het uitvoeren van audits, zowel met betrekking tot de jaarrekeningcontrole als met betrekking tot de overige audits (IT en operational audits). 6.3.3 De audit planning Group Audit ABN AMRO Binnen Group Audit is er een verschil tussen het opzetten van de planning van operational audits en het opzetten van de planning van de IT audits. De (regionale en centrale) operational audit teams bepalen zelfstandig hun planning op basis van risico analyses, terwijl er bij IT Audit centrale thema’s/objecten zijn bepaald die regionaal

32

afgedekt moeten worden. De regio’s zijn vervolgens wel weer vrij om te bepalen hoe zij deze thema’s zullen afdekken. De IT en operational audit planningen worden op elkaar afgestemd. Departementale Audit Dienst Ministerie van Justitie De planning van de Departementale Audit Dienst van het Ministerie van Justitie wordt opgezet aan de hand van risicoanalyses. De departementen voeren risicoanalyses uit en van daar uit worden de belangrijkste thema’s gedestilleerd. Per thema worden de audits gedefinieerd, die uiteindelijk per kwartaal worden gepland. 6.3.4 De auditor Group Audit ABN AMRO Group Audit stelt specifieke opleidingseisen per audit specialisme. Binnen Nederland dienen de auditors over een R-titel (RA, RO, RE of RC) te beschikken of er voor in opleiding te zijn. In de overige regio’s dienen de auditors over een C-titel te beschikken, bijvoorbeeld CIA, CPA, CMA of CISA. Vanuit Group Audit stromen medewerkers door naar alle geledingen van de ABN AMRO Bank, zowel binnen als buiten Group Audit. Binnen Group Audit komt het voor dat IT auditors overstappen naar operational audit, maar de overstap van operational audit naar IT audit vindt veel minder vaak plaats. Departementale Audit Dienst Ministerie van Justitie De auditors binnen de Departementale Audit Dienst zijn geen specialisten maar generalisten, wel heeft iedereen een R-titel (RA, RO, RE etc). De organisatie kent geen onderscheid tussen de RA, RO en RE functie. De RE-ers zullen misschien meer op IT aspecten worden ingezet, maar RO-ers zullen dit even goed moeten doen. Zowel organisatorisch als functie inhoudelijk is er dus geen onderscheid tussen type auditors. Bij de Departementale Audit Dienst streeft men er naar dat een auditor in een periode van 7 tot 8 jaar doorgroeit naar een management functie binnen, dan wel buiten de audit dienst. Juist het niet hebben van een onderscheid tussen IT en operational auditing zou aan deze doorstroming moeten bijdragen.

6.4 Tot slot Het praktijkonderzoek was gericht op het in beeld brengen van hoe wordt omgegaan met de verschillen en de overeenkomsten in aspecten die een rol spelen bij de uitvoering van IT en operational audits voor de inrichting van de interne audit functies. Teneinde deze vraag te beantwoorden hebben wij vragen gesteld aan de leidinggevende van een organisatie met én de leidinggevende van een organisatie zonder onderscheid in IT audit en operational audit functies. Deze vragen hadden onder andere betrekking op de interne audit organisatie, de soorten uitgevoerde audits, de gehanteerde normen, de audit planning en de aan de auditors gestelde opleidingseisen. Uit dit praktijkonderzoek kwam het volgende naar voren:

• De interne audit dienst van de ABN AMRO Bank is aanzienlijk groter dan die van het Ministerie van Justitie. Daar waar ABN AMRO Bank 850 auditors in dienst heeft, heeft het Ministerie van Justitie er 40. Van die 850 audit medewerkers bij de ABN AMRO Bank zijn 97 IT auditors, terwijl het Ministerie van Justitie naast de 40 audit medewerkers aanspraak kan maken op 3.5 fte uit de EDP audit pool. Dat deze verschillen in aantallen direct samenhangen met de omvang van de organisatie waar de twee interne audit diensten zich op richten, kunnen we niet direct concluderen. Immers, bij de ABN AMRO Bank werken tussen de 80.000 en 100.000 medewerkers en bij het Ministerie van Justitie 40.000. Een verklaring voor dit verschil ligt mogelijk in andere verschillen tussen de twee door ons onderzochte organisaties. Namelijk in het type organisatie (een financiële instelling versus een overheidsinstelling), de geografische spreiding (wereldwijd versus in Nederland) en het aantal datacentra (meerderen wereldwijd versus vier in Nederland). Of dit echter ook daadwerkelijk zo is zou in een vervolg onderzoek getoetst kunnen worden;

• Zowel bij de ABN AMRO Bank als bij de Departementale Audit Dienst van het Ministerie van Justitie is een bewuste keuze gemaakt voor het hebben van een onderscheid, cq. voor het hebben van geen onderscheid tussen IT en operational audit functies. Wat opvalt is dat hoewel er bij de Departementale Audit Dienst geen sprake is van een onderscheid tussen IT en operational audit functies, in de praktijk de

33

IT matige aspecten toch door een IT auditor worden uitgevoerd. Bij ABN AMRO valt op dat ondanks het expliciet onderscheid tussen IT audit en operational audit functies, een aantal audits gezamenlijk door IT auditors en operational auditors worden uitgevoerd. Dit betrof veranderingsaudits en audits naar projecten. In het bijzonder bij de veranderingsaudits toetsen de IT en de operational auditors gezamenlijk de opzet en het bestaan van de logische toegangsbeveiliging;

• Met betrekking tot de gehanteerde normen hebben wij geconstateerd dat beide audit diensten gebruik maken van algemene en organisatie specifieke normenkaders. Tevens zagen wij dat de audit dienst van ABN AMRO, ter ondersteuning van de uitvoering van audits, gebruik maakt van standaard audit programma’s en het Ministerie van Justitie niet. Mogelijk dat de omvang van de audit organisatie van ABN AMRO Bank een dergelijke standaardisatie noodzakelijk maakt. Ook deze mogelijke samenhang zou een onderwerp voor een eventueel vervolgonderzoek kunnen zijn;

• De twee interne audit diensten komen sterk overeen wat betreft de wijze waarop de planningen tot stand komen. Zowel voor de operational audits van ABN AMRO Bank als voor de audits van het Ministerie van Justitie komt de audit planning tot stand op basis van risico analyses. Alleen de planning van de IT audits bij de ABN AMRO is gebaseerd op centraal bepaalde thema’s. Hoe deze thema’s worden bepaald hebben wij niet onderzocht. Mogelijk zijn ook deze gebaseerd op een risico analyse;

• De aan de auditors gestelde opleidingseisen verschillen niet. Beide organisaties eisen dat de auditors een post doctorale audit opleiding volgen. Opvallend was dat hoewel ABN AMRO Bank een onderscheid maakt tussen IT en operational auditing functies, zij aan haar auditors geen eisen stelt ten aanzien van de te volgen dan wel gevolgde post doctorale opleiding. Belangrijker is de affiniteit met het vakgebied dat wordt beoordeeld.

Op basis van bovenstaande resultaten kunnen wij het volgende antwoord geven op de tweede subvraag, “Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en Operational audits bij de inrichting van de interne audit functie?”: Met name het verschil in de optiek van waar uit de audit objecten worden getoetst heeft invloed op de inrichting van de interne audit functie, meer in het bijzonder op het maken van een onderscheid tussen IT en operational auditing functies. Uit ons onderzoek is namelijk gebleken dat bij beide organisaties de IT-matige aspecten door IT auditors worden getoetst en niet door operational auditors. Tevens kunnen wij hieruit concluderen dat het niet uitmaakt hoe de IT en Operational auditors binnen een organisatie zijn ingedeeld, in één team opererend of niet. Immers, hoewel het Ministerie van Justitie formeel geen onderscheid maakt tussen IT en operational auditors, zet zij toch IT auditors in voor het toetsen van de meer complexere IT objecten, de General IT controls en de logische toegangsbeveiliging, en niet operational auditors. Met betrekking tot de overige aspecten gingen de twee door ons onderzochte organisaties hetzelfde om: beide audit diensten voeren speciale onderzoeken en project audits uit, hanteren algemene en interne normen, maken de audit planning op basis van een risico analyse en eisen dat de auditors een post doctorale audit opleiding volgen. . In het volgend hoofdstuk zullen wij de resultaten zoals gepresenteerd in dit en vorig hoofdstuk met elkaar in verband brengen ten einde een antwoord te kunnen geven op de hoofdvraag. Namelijk: “Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid tussen IT en operational auditing?”

34

7 Conclusies en aanbevelingen

7.1 Inleiding Onze scriptie richtte zich op de volgende hoofdvraag: “Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid tussen IT en operational auditing?” Voor het beantwoorden van deze hoofdvraag, hebben wij twee subvragen geformuleerd. Deze luidden:



Voor de behandeling van de eerste subvraag hebben wij een literatuurstudie uitgevoerd naar aspecten die een rol spelen bij auditing in het algemeen, en bij IT auditing en operational auditing in het bijzonder. De uitkomsten hiervan zijn beschreven in respectievelijk hoofdstukken 2, 3 en 4. Hoofdstuk 5 bevat een vergelijking van de belangrijkste uitkomsten, waarmee de verschillen en overeenkomsten tussen de aspecten verbonden aan de uitvoering van IT en operational audits in beeld zijn gebracht. Voor de behandeling van de tweede subvraag hebben wij een praktijkonderzoek uitgevoerd, waarvan de resultaten in hoofdstuk 6 zijn weergegeven. In dit hoofdstuk zullen wij aan de hand van de antwoorden op de twee subvragen een antwoord geven op de hoofdvraag. Tot slot zullen wij aan de hand van dit antwoord evalueren wat dit betekent voor de huidige inrichting van de interne audit functies.

7.2 Conclusies Op basis van ons literatuuronderzoek zijn wij tot het volgende antwoord gekomen op de eerste subvraag: Algemene aspecten die een rol spelen bij de uitvoering van IT en operational audits zijn de soorten audits, de onderzoeksobjecten, de kwaliteitsaspecten, de normen, de audit fases en de aan de auditor gestelde eisen vanuit de beroepsorganisaties. Bij de twee audit disciplines bleken de aspecten alleen te verschillen met betrekking tot de optiek van waaruit de disciplines de objecten benaderen, de algemene normenkaders en de benaming en invulling van enkele eisen van de beroepsorganisaties. Alle andere aspecten vertoonden sterke overeenkomsten. De tweede subvraag hebben wij naar aanleiding van ons praktijkonderzoek als volgt beantwoord: Met name het verschil in de optiek van waaruit de audit objecten worden getoetst heeft invloed op de inrichting van de interne audit functie, meer in het bijzonder op het maken van een onderscheid tussen IT en operational auditing functies. De meer complexe IT objecten blijken in de praktijk door IT auditors te worden uitgevoerd en niet operational auditors. Met de overige aan de uitvoering van een audit verbonden aspecten gingen de twee door ons onderzochte organisaties hetzelfde om. Onafhankelijk of er al dan niet een formeel onderscheid is tussen IT en operational auditors, worden er diverse soorten audits gezamenlijk uitgevoerd door IT en operational auditors, hanteert men zowel algemene als interne normen, wordt de planning op basis van risico analyses gemaakt en eist men dat de auditors een post doctorale audit opleiding volgen.

Uit de resultaten van ons literatuur- en praktijkonderzoek maken wij het volgende op: Van de theoretische verschillen in de aspecten verbonden aan de uitvoering van een audit, zagen wij in de praktijk dat met name de optiek van waaruit de onderzoeksobjecten worden benaderd een rol speelt bij de inrichting van de audit functies. Dat wil zeggen in het al dan niet maken van een onderscheid tussen IT en operational auditors. Daar wij een bedrijf met én een bedrijf zonder expliciete scheiding tussen audit functies hebben onderzocht, lijken deze resultaten erop te duiden dat het niet uitmaakt hoe de IT en operational auditors worden ingedeeld. Dit wordt

35

bevestigd doordat de aspecten verbonden aan de uitvoering van audits zoals de normen, de audit planning en de opleidingseisen niet bleken te verschillen bij de twee door ons onderzochte organisaties. Dat de IT auditors en de operational auditors de objecten met een andere optiek benaderen hoeft geen probleem te zijn. Integendeel, deze twee benaderingen vormen juist een waardevolle aanvulling op elkaar. Wij zeggen expliciet “deze resultaten lijken er op te duiden”, aangezien ons praktijkonderzoek een verkennend karakter had en slechts twee organisaties omvatte. Voor een stelligere uitspraak zouden bij het onderzoek meer bedrijven .betrokken zijn geweest. Een vervolgonderzoek zou dan ook kunnen kijken naar de invloed van de type en de omvang van de organisatie op de keuze van inrichting van de interne audit functies. Zoals wij hebben gezien dat de ABN AMRO Bank een veel grotere audit dienst heeft dan het Ministerie van Justitie en een onderscheid maakt tussen IT en operational auditors, zo bleek ook uit een recent onderzoek naar interne audit diensten dat hoe groter de audit dienst, des te meer er sprake was van specialisme (Vos en Arif, 2007). En hoe groter de organisatie, des te groter de audit dienst. Bovendien bleek uit dat onderzoek dat hoewel de meeste ondernemingen de audit functie breed hadden ingevuld, de financiële instellingen een grote operational en IT audit functie hadden. Het bovenstaande in ogenschouw nemend kunnen wij de hoofdvraag ,“Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid tussen IT en operational auditing?” als volgt beantwoorden: Gegeven het onderscheid tussen IT en operational auditing is een separate positionering van IT en operational auditors niet noodzakelijk. Vanuit de behoefte aan een totaal benadering van risicobeheersing vullen de twee type auditors elkaar juist goed aan met hun verschillende benaderingswijze van de onderzoeksobjecten. Een expliciete uitspraak over een optimaal model van inrichting van audit functies kunnen wij niet doen aangezien factoren als type en de omvang van de organisatie een mogelijke rol spelen. Deze aspecten hadden wij niet meegenomen in ons onderzoek.

7.3 Aanbeveling Als aanbeveling willen wij meegeven om in een interne audit organisatie IT en operational auditors nauw met elkaar samen te laten werken, met name om gebruik te kunnen maken van hun verschillen in benadering van de audit objecten. Bijkomende voordelen hiervan zullen zijn, dat de operational auditors in hun beoordeling van de beheersingsmaatregelen ook de in de bedrijfsvoering verweven IT systemen in ogenschouw kunnen nemen en dat de IT auditors de IT systemen meer vanuit organisatieperspectief kunnen bekijken. In de praktijk zien we hier al wel een neiging toe bij de gezamenlijk inzet van IT en operational auditors bij de uitvoering van project audits, maar dit kan natuurlijk ook bij de uitvoering van reguliere audits.

36

8 Evaluatie Bij het begin van het proces van het schrijven van de scriptie, namelijk het vaststellen van het scriptie onderwerp, zagen wij een veelheid aan interessante deelonderwerpen waaraan we aandacht zouden kunnen besteden. Namelijk de audit programma’s die worden gebruikt, de opleidingen die de auditors volgen, het maken van de audit planningen, etcetera. Juist deze veelheid aan deelonderwerpen die direct in verband kunnen worden gebracht met het onderwerp van onze scriptie, maakte dat wij bij de daadwerkelijke uitwerking regelmatig onszelf tot de orde hebben moeten roepen en de focus van onze scriptie terug moeten brengen tot een selectie van onderwerpen. Bij het schrijven van de scriptie hebben wij uiteindelijk veel meer de nadruk gelegd op het literatuuronderzoek. Hierdoor hadden wij moeite om ons praktijkonderzoek nog steeds te richten op de beantwoording van de hoofdvraag. Gelukkig bracht het praktijkonderzoek ons toch interessante resultaten. Zoals het feit dat de in ons literatuuronderzoek aangetroffen overeenkomsten in de aspecten verbonden aan de uitvoering van IT en operational audits in de praktijk werd bevestigd. Ook het feit dat in een organisatie zonder onderscheid tussen IT en operational auditing functies de IT matige aspecten door IT auditors worden getoetst, was opvallend. Tevens lijkt er een relatie te bestaan tussen het al dan niet hebben van een onderscheid tussen IT en operational auditors en de omvang van de audit organisatie. Of dit verband inderdaad bestaat zou in een vervolg onderzoek getoetst kunnen worden.

37

Literatuurlijst

Biene-Hershey, M.E. van (1996), IT Auditing: An object oriented approach. Cock, L. de en A. Molenkamp (2004), De toegevoegde waarde van de auditor, Tijdschrift Controlling nr.3, maart 2004, pp. 28-30. Driessen, A.J.G. en A. Molenkamp (2004), Operational auditing: Een Managementkundige benadering van internal auditing, Kluwer. Hartog, P. en Kerk, J. van der (1999), Vier Stappen naar een geïntegreerde Audit-functie, Auditing.nl /Tijdschrift Controlling 1999. Hartog, P. en Korte, R. de (2005), IT-audit en operational audit: eenmanszaken of maten?, de EDP-auditor nummer 2, pp. 20-27. Kocks, C. (2003), Auditing, audit, auditor, wat moeten we ermee?, Twintig Over…Internal/Operational auditing: bijdragen aan governance & control, pp. 141-173. Korte, R. de (2004), De samenwerking tussen de IT-auditor en de internal/operational auditor, Auditing.nl 2004. Mollema, K. en G. van der Pijl (2005), Audit tussen strategie en verandering, IT-auditing, januari/februari 2005, pp. 17-23. NOREA (2003), Handreiking, oordelen van gekwalificeerde IT-auditors. NOREA (2006), Jaarboek 2006/2007. Paape, L. (2005), Internal audit, een gezonde toekomst voor de boeg!? Deel2, Auditing.nl 2005.

Praat, J. van en H. Suerink (2004), Inleiding EDP-auditing, ten Hage & Stam uitgevers. Vos, R. en Arif, N. (2007). Ontwikkelingen in de interne auditfunctie in het bedrijfsleven. VU (2006), Reader Auditing, Eerstejaars college 2006. VU (2006), Reader BIV Basics, Eerstejaars college 2006.

38

BIJLAGEN

A Vragenlijst Organisatie algemeen: 1. Wat voor een type organisatie is het? Wat zijn de belangrijkste bedrijfsprocessen? Welke rol speelt IT daarbij? 2. Hoe is de organisatie georganiseerd, gestructureerd (geografisch, organisatorisch)? 3. Uit hoeveel medewerkers bestaat het? 4. Welke IT is er in huis, is er een datacentrum, is er sprake van outsourcing, worden programma’s in-huis

ontwikkeld, etc? Interne audit organisatie: 1. Hoe is de interne audit organisatie ingericht, met of zonder onderscheid tussen IT en operational auditing

functies? 2. Waarom is er voor deze inrichting gekozen? 3. Wat voor een soort audits worden er intern uitgevoerd? 4. Door wie worden deze uitgevoerd? 5. Hoe vindt de planning plaats? 6. Welke normenkaders worden er gebruikt? Bij scheiding IT en operational audit: 1. Wat zijn de voor en de nadelen van het hebben van een scheiding? 2. Welke type IT/ operational audits vinden er plaats? En welke andere werkzaamheden (advies, speciale

onderzoeken, due diligence, sox, sas, etc) 3. Is er een onderscheid binnen IT en operational audit (bijv. technical vs. system audit, en proces en project

audits, etc)? 4. Worden er General IT audits gedaan en door wie? 5. Wie controleert de logische toegangsbeveiliging? 6. Vinden er gezamenlijke audits plaats? In welke gevallen? 7. Hoe zit het met de overlap gebieden, qua afstemming? Komt dit terug in de audit programma’s? 8. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc? 9. Worden IT/ operational auditors ook ingezet op andere audits? En om wat voor een soort audits gaat dat dan? Bij geen scheiding IT en operational audit: 1. Wat zijn de voor en de nadelen van het niet hebben van een scheiding? 2. Welke type audits vinden er plaats? En welke andere werkzaamheden (advies, speciale onderzoeken, due

diligence, sox, sas, etc)? 3. Wie voert welke type audit uit? 4. Is er specifieke kennis van IT nodig? 5. Wie voert de echte technische audits uit, bijvoorbeeld firewall settings/netwerk/etc? 6. Worden er General IT audits gedaan en door wie? 7. Wie controleert de logische toegangsbeveiliging? 8. Hoe zijn de audit programma’s opgesteld en hoe komen daar de verschillende disciplines in terug

(geïntegreerd of specifiek)? 9. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc? 10. Zijn er wel gespecialiseerde (IT en operational) auditors binnen de organisatie en hoe worden zij ingezet? 11. Hoe worden de mensen verdeeld over de audits? Hebben zijaandachtsgebieden/ specialismen/ etc?

39

B Uitgebreide resultaten praktijkonderzoek

1. Interview ABN AMRO BANK NV, Global Head IT Audit, H ans Lameijer RE Organisatie algemeen: 1. Wat voor een type organisatie is het? Wat zijn de belangrijkste bedrijfsprocessen? Welke rol speelt IT

daarbij? ABN AMRO Bank is een financiële instelling met een matrix organisatie. De belangrijkste bedrijfsprocessen zijn: - waarde creëren voor de aandeelhouders; - bewaren van geld; - aantrekken en uitgifte van geld; - transformatie; - tevreden klanten; - gemotiveerde medewerker. De rol van IT is die van een enabler. Zonder IT zouden producten niet aangeboden kunnen worden, dit in verband met hun complexiteit bij Wholesale banking en de volumes bij Retail banking. 2. Hoe is de organisatie georganiseerd, gestructureerd (geografisch, organisatorisch)? De ABN AMRO Bank is zowel geografisch als functioneel opgedeeld. Binnen de bank is de geografische opdeling in regio’s, namelijk: Europa, Azië, Latijns-Amerika, de Verenigde Staten en Nederland. De functionele indeling is als volgt: Risk, Compliance, Finance, Services, Operations, Corporate Services, Transaction Banking, Global Markets en Global Clients. 3. Uit hoeveel medewerkers bestaat het? Op dit moment heeft de bank wereldwijd tussen de 80.000 en 100.000 medewerkers. 4. Welke IT is er in huis, is er een datacentrum, is er sprake van outsourcing, worden programma’s in-huis

ontwikkeld, etc? Binnen de bank heeft men gekozen voor outsourcing en offshoring. Systeem ontwikkeling is grotendeels ge-offshored naar India en het beheer is ge-outsourced. Er vindt bijna geen in-huis ontwikkeling plaats. De ABN AMRO heeft in alle regio’s datacenters. Interne audit organisatie: 1. Hoe is de interne audit organisatie ingericht, met of zonder onderscheid tussen IT en operational auditing

functies? Binnen de bank heeft de audit organisatie de naam Group Audit. Het hoofd van Group Audit is de Chief Audit Executive (CAE). De CAE rapporteert aan het Audit Committee en aan de voorzitter van de Raad van Bestuur. Group Audit spiegelt zich aan de klantorganisatie en heeft daardoor ook een matrix organisatie. Er is in elke regio een audit organisatie voor de locale afdekking, en daar bovenop is er een centrale audit afdeling. Daar waar mogelijk is er in iedere regio een specialist voor elk functioneel gebied, product of cliënt groep. Deze specialisten zijn de linking pin naar de centraal verantwoordelijke, de zogenaamde Global Expert Group. De centrale functie bepaalt de minimale standaarden, en de uitvoering ligt bij de regio’s. Binnen Group Audit is er gekozen voor een scheiding tussen Financial, Operational en IT Audit. De uiteindelijke inrichting van de audit organisatie kan verschillen per regio. Zo is audit in de regio Azië veel meer per land ingericht en in de regio’s VS en Nederland veel meer per functioneel gebied. Daarnaast zijn sommige specialismen veel meer centraal dan regionaal aanwezig, zoals bij Risk en Compliance. Voor IT is er gekozen

40

voor het model van Hubbing. Dit houdt in dat er naast de centrale IT audit afdeling, een IT audit vertegenwoordiging is in die landen waar een concentratie is van IT. De belangrijkste reden voor deze opzet is die van kennisopbouw bij de auditors. Daarnaast zijn de kosten van belang. Er wordt een afweging gemaakt of het rendabeler is om een IT auditor in een bepaald land te plaatsen of om een IT auditor vanuit de centrale organisatie of de regio heen en weer te laten reizen. Met betrekking tot operational audit kan gezegd worden dat er in alle regio’s generalisten zitten, en die generalisten zijn de operational auditors. Zij zijn meer werkwijze georiënteerd dan een specialist op een bepaald gebied. Bij IT audit is dat anders, daar heb je juist wel specialisten. Het onderscheid vertaalt zich terug in regio’s met clusters operational auditors, aangevuld met specialisten voor IT, Risk en Compliance. 2. Waarom is er voor deze inrichting gekozen? Hans geeft aan dat de scheiding tussen operational audit en IT audit volgens hem noodzakelijk is. De Technical auditors zouden de gap in de communicatie met de business niet kunnen dichten. En de operational auditors zijn weer echte generalisten die nooit een dergelijke diepgaande kennis van systemen kunnen op doen als de System auditors. 3. Wat voor een soort audits worden er intern uitgevoerd? Het uitgangspunt is het verstreken van Assurance, intern en extern. De weg er naar toe is minder belangrijk. In de bestaande situatie zijn er 2 smaken: Operational audits op de bestaande situatie (bijvoorbeeld bij een bedrijfsproces, of bij een functioneel gebied zoals Risk en Compliance) en operational audits op veranderingen. Auditen van veranderingen heeft invloed op de organisatie inrichting en vereist meer flexibiliteit. Een auditor volgt een project vanaf de opstart fase tot aan de afsluiting van het project. Group Audit beschikt over een pool van medewerkers om in te zetten op projecten. 4. Door wie worden deze uitgevoerd? Het aantal benodigde auditors en hun verdeling is bepaald op basis van professional judgement en ervaring uit het verleden. Er is een budget voor 850 medewerkers wereldwijd. Bij IT audit werken wereldwijd 97 medewerkers. Het onderscheid bij IT audit tussen system en technical auditors is afhankelijk van de locaal benodigde expertise en de noodzaak. Zo zijn er voor de Business Unit Services IT zowel technical als system auditors en zijn er voor de Business Unit Nederland alleen maar system auditors. 5. Hoe vindt de planning plaats? Een belangrijk verschil tussen de planning van operational en IT audits is het feit dat de (regionale en centrale) operational audit teams zelfstandig hun planning kunnen bepalen, terwijl bij IT Audit er centraal thema’s/objecten zijn bepaald die regionaal afgedekt moeten worden. De regio’s zijn vervolgens wel weer vrij om te bepalen hoe zij deze thema’s zullen afdekken. De centrale thema’s voor 2008 zijn: 1. Information Security, 2. Applications, 3. Service Delivery en 4. Vendor Management. De afstemming tussen IT en operational audit, over wat respectievelijk de belangrijke applicaties en de belangrijke processen zijn, is er nog niet erg. Maar hun planningen worden wel op elkaar afgestemd. In de planningscyclus moeten ook de re-audits meegenomen worden. Dat wil zeggen dat audits die eerder een slechte uikomst lieten zien, binnen een bepaalde termijn opnieuw moeten worden uitgevoerd. 6. Welke normenkaders worden er gebruikt? Iedere audit vindt plaats op basis van een op dit audit toegesneden audit programma. Bij IT audit zijn er voor operationele audits naar de infrastructuur zogenaamde Global Standard Audit Programms opgesteld. Hierbij is CobiT gebruikt als vertrekpunt en als referentie voor de toetsing van de volledigheid van het audit programma. Er wordt echter niet verwacht dat de organisatie CobiT-compliant is. Bij opertional audit wordt COSO gebruikt als leidraad om te toetsen of de audit programma’s volledig zijn. Ook hier geldt echter dat het niet wordt gehanteerd als richtinggevende normenkader. Bij veranderingsaudits wordt enerzijds gekeken naar de governance van het project en anderzijds naar de inhoud van de verandering. Voor het eerste is een vast audit programma, voor het tweede zal dit verschillen per audit.

41

Andere toetsingscriteria die binnen ABN AMRO Bank worden gebruikt zijn:

• De eigen ABN AMRO regels; • De sound practices die ook voor de bank kunnen gelden, zoals ITIL en de richtingbepalende criteria

die komen van de Nederlandse Vereniging van Banken; • De sound practices uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA.

Bij scheiding IT en operational audit: 1. Wat zijn de voor en de nadelen? Binnen Group Audit is er altijd een scheiding geweest tussen IT en operational audit. Hans is er ook een groot voorstander van. Zie ook zijn antwoord bij vraag 2 bij Interne audit organisatie. 2. Welke type IT/operational audits vinden er plaats? En welke andere werkzaamheden (advies, speciale

onderzoeken, due diligence, sox, sas, etc) Binnen Group Audit vinden naast de eerder genoemde audits op de bestaande en op de veranderingssituatie, ook andere werkzaamheden plaats. Het gaat dan om onder andere sox testen, speciale onderzoeken en due diligence onderzoeken. 3. Is er een onderscheid binnen IT en operational audit (bijv. technical vs system, en proces en projecten, etc)? Zoals eerder aangegeven is er binnen IT audit een onderscheid tussen technical en system auditors en is er in het algemeen een onderscheid tussen audits op de bestaande situatie en op projecten. Daarnaast is er sprake van ander type specialisten, zoals specialisten met betrekking tot Finance, Risk en Compliance. Deze verschillen komen ook terug in de deskundigheidseisen (diploma’s en certificeringen) en het demonstreren en onderhouden van die deskundigheid. 4. Worden er General IT audits gedaan en door wie? De General IT audits worden in eerste instantie uitgevoerd door de technical auditors. Daar waar de system auditors General IT Controls meenemen in hun audits, dienen zij met de technical auditors af te stemmen en te toetsen of het nodig is dat zij dat doen en of zij het op de juiste wijze doen. De zuivere afdekking van een gebied en de eventuele overlap wordt niet bewaakt. Het is aan de competentie van de auditor om in te schatten hoe hiermee om te gaan. 5. Wie controleert de logische toegangsbeveiliging? Volgens Hans wordt de opzet en het bestaan van de logische toegangsbeveiliging met name getoetst vanuit de veranderingsaudits. Deze audits worden meestal uitgevoerd door een team van auditors, bestaande uit IT en operational auditors. De werking van de logische toegangsbeveiliging wordt primair door de operational auditors getoetst. 6. Vinden er gezamenlijke audits plaats? In welke gevallen? Hans geeft aan dat gezamenlijke audits een kwestie van definitie is. In principe is 30% van de tijd van de IT auditor gereserveerd voor participatie in operational audits, in verband met de wisselwerking vanuit de ervaringsuitwisseling en in verband met het behalen van een efficiency voordeel. Daarnaast vinden er gezamenlijke audits plaats zoals de landen audits, de veranderingsaudits en audits op speciale projecten (bijvoorbeeld Basel II). 7. Hoe zit het met de overlap gebieden, qua afstemming? Komt dit terug in de audit programma’s? Er is geen afstemming of bewaking met betrekking tot mogelijke overlap. Het is aan de regionale verantwoordelijke en het vaktechnische inzicht van de auditor om dit te doen. Binnen IT Audit worden op centraal niveau de audit programma’s voor de IT infrastructuur bewaakt door het zogenaamde Shared Services Counsel. Zij bepalen de inhoud en het model waarin de audit programma’s moeten passen (bijv. CobiT en ITIL). De input voor deze programma’s komt in principe van de specialisten.

42

Ook binnen operational audit zijn er centrale audit programma’s, maar deze worden niet zo strikt gehanteerd als die bij IT audit aangezien bij iedere operational audit het audit programma aan het object aangepast zal moeten worden. Alleen wanneer er sprake is van een specifieke centraal opgestelde audit programma dat regionaal getoetst moet worden wordt het programma aan de regio opgelegd. 8. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc? Group Audit stelt specifieke opleidingseisen per audit specialisme. Binnen Nederland dienen de auditors over een R-titel (RA, RO, RE of RC) te beschikken of er voor in opleiding te zijn. In de regio’s dienen de auditors over een C-titel te beschikken, bijvoorbeeld CIA, CPA, CMA of CISA. Iemand met de een R-titel kan ook audits binnen een ander specialisme doen, mits hij daarvoor de kennis en ervaring heeft en/of de wens zich daar verder in te ontwikkelen. Een RA-er die aan deze eis voldoet zou dus ook prima als technical auditor kunnen gaan werken. Nieuwe instroom heeft geen specifieke kennis nodig, wel zijn er eisen ten aanzien van vooropleiding in verband met het kunnen halen van de R-titel en het geschikt zijn voor het vakgebied in het algemeen. Dit laatste betekent dat hij zich zowel qua audit vaktechniek als qua aandachtsgebied de nodige kennis, kunde en ervaring moet kunnen opdoen. Doorstroming is ook belangrijk. Vanuit Group Audit stromen mensen door naar alle geledingen in de organisatie. Binnen Group Audit zelf vindt ook doorstroming plaats. Zo komt het voor dat IT auditors overstappen naar operational audit. Vanuit operational audit vindt de overstap naar IT audit veel minder vaak plaats. 9. Worden IT/ operational auditors ook ingezet op andere audits? En om wat voor een soort audits gaat dat

dan? IT auditors draaien mee in operational audits. Vaak is het zo dat de IT Auditor naar de systemen of naar het Operating System kijkt. Het komt ook voor dat operational auditors bij een IT audit betrokken zijn, bijvoorbeeld bij een Business Continuity audit.

43

2. Interview Ministerie van Justitie, Directeur van de Departementale Audit Dienst, Jan van Praat RE RA

Organisatie algemeen: 1. Wat voor een type organisatie is het? Wat zijn de belangrijkste bedrijfsprocessen? Welke rol speelt IT

daarbij? Het Ministerie van Justitie is een overheidsinstelling. De belangrijkste bedrijfsprocessen zijn:

1. Wetgeving; 2. Gevangenissen; 3. Rechtspraak; 4. Vreemdelingenbeleid.

De rol van IT is erg belangrijk, zowel vanuit de primaire bedrijfsvoering als vanuit de ondersteuning aan de processen. Ieder departement heeft zijn eigen IT organisatie. 5. Hoe is de organisatie georganiseerd, gestructureerd (geografisch, organisatorisch)? Het Ministerie van Justitie is zowel centraal als decentraal georganiseerd. 6. Uit hoeveel medewerkers bestaat het? In totaal bestaat het Ministerie van Justitie uit ongeveer 40.000 medewerkers. In het bestuursdepartement in Den Haag werken ongeveer 2000 medewerkers. De overige 38.000 medewerkers zitten verspreidt over het land, en werken in de gevangenissen, rechtbanken, asielzoekerscentra, etc. 7. Welke IT is er in huis, is er een datacentrum, is er sprake van outsourcing, worden programma’s in-huis

ontwikkeld, etc? Binnen het Ministerie van Justitie is de IT in belangrijke mate in huis georganiseerd. Alleen de IT van de salarisadministratie van het Rijk (behalve van het Ministerie van Defensie) P-Direkt, is geoutsourced. Het beheer van de systemen wordt veelal in huis gedaan, maar ondersteuning en ontwikkeling wordt beperkt binnen het ministerie uitgevoerd. Binnen het Ministerie van Justitie worden veel programma’s ingekocht. Het gaat vaak om grote projecten die door derden worden gedaan. Justitie heeft een viertal rekencentra: ICTRO (van de Politie en het Ministerie van Binnenlandse Zaken), ICTS (voor de Rechtspraak), GBO (voor de financiële systemen van de Gemeenten) en DBO ICT (voor de bestuursdepartementen). In beperkte mate is er ook decentraal een eigen IT organisatie. Interne audit organisatie: 1. Hoe is de interne audit organisatie ingericht, met of zonder onderscheid tussen IT en Operational auditing

functies? De Departementale Audit Dienst is binnen het Ministerie van Justitie als volgt opgebouwd: als hoofd is er een directeur en daarnaast werken er ongeveer 40 medewerkers. De audit dienst is ingedeeld in een drietal clusters plus de ondersteunende functies. De clusters zijn klantgericht. De clusters zijn gericht op de 4 stromingen: Politie, Rechtspraak, Gemeenten en Financiële gegevens. Op dit moment vindt er een reorganisatie plaats binnen de Departementale Audit Dienst. Het zal veranderen naar een netwerk organisatie. De organisatie gaat er dan als volgt uit zien: er zullen 2 directeuren zijn, met daaronder 38 medewerkers. De medewerkers worden naar niveau ingedeeld: junior (ca 10 personen), medior (ca 12 personen) en senior (6 à7 personen). De seniors zullen als account manager gaan acteren en de communicatie met de klanten over planning, uitkomsten van de audits, etc. op zich nemen. In de nieuwe organisatie krijgen de audits een projectmatig karakter. Voor ieder project wordt een project leider aangesteld, dit niet per se een senior auditor hoeft te zijn. Afhankelijk van de grootte en complexiteit van de audit vraag wordt er een team samengesteld. Daarnaast zal bij de samenstelling van een team ook de beschikbaarheid, kennis etc. een rol

44

spelen. Er worden momenteel nieuwe functieprofielen ontwikkeld. Op dit moment zijn de functieprofielen gekoppeld aan competenties, in de toekomst zullen er meer eisen worden gesteld met betrekking tot opleiding en ervaring. De auditors binnen Departementale Audit Dienst zijn geen specialisten maar generalisten, wel heeft iedereen een R-titel (RA, RO, RE etc). De organisatie kent geen onderscheid tussen de RA, RO en RE functie. De RE-ers zullen misschien meer op IT aspecten worden ingezet, maar RO-ers zullen dit evengoed moeten doen. Zowel organisatorisch als functie inhoudelijk is er dus geen onderscheid tussen type auditors. 2. Waarom is er voor deze inrichting gekozen? Volgens Jan is de belangrijkste reden voor de inrichtingskeuze van de Departementale Audit Dienst, de carrière mogelijkheden van de medewerkers. Er wordt gestreefd naar een doorgroei van een auditor in 7 tot 8 jaar naar een management functie. De Departementale Audit Dienst zou een middel moeten zijn om een (management) functie binnen de organisatie te krijgen. Het voordeel van het vak auditing is dat de auditors veel van de organisatie zien en dus een brede ervaring opdoen. 3. Wat voor een soort audits worden er intern uitgevoerd? Binnen de Departementale Audit Dienst worden er veel soorten audits uitgevoerd: thema audits, project audits en de jaarrekening controle. Op verzoek voeren zij ook speciale onderzoeken uit. De rapporten krijgen geen overall rating en findings ook geen specifieke rating. De conclusies en aanbevelingen worden wel gemonitoord. 4. Door wie worden deze uitgevoerd? Audits kunnen door iedereen worden uitgevoerd. De planning van de inzet van de medewerkers vindt plaats op basis van beschikbaarheid, niet op basis van kennis en kunde. Op het moment echter dat er specifieke IT audit kennis nodig is, dan is het mogelijk om deze in te huren vanuit de EDP audit pool. De Departementale Audit Dienst heeft 3.5 FTE ingeleverd aan de EDP audit pool en heeft afspraken gemaakt over eventuele inhuur. Daarnaast is er (beperkt) budget beschikbaar voor het inhuren van externen. De externe inhuur doet eigenlijk vooral de accountants controle. 5. Hoe vindt de planning plaats? De departementen voeren risicoanalyses uit en van daar uit worden de belangrijkste thema’s gedestilleerd. Per thema worden de audits gedefinieerd, die uiteindelijk per kwartaal worden gepland. Daarnaast vindt er vanuit de jaarrekening controle een cyclische planning plaats en worden er vrij veel project audits uitgevoerd.Tot en met vorig jaar werd er een jaarplanning opgesteld. Dit jaar is men bewust overgestapt naar een kwartaalplanning, omdat er teveel wijzigingen plaatsvonden in de jaarplanning. Ieder trimester zullen de account managers spreken met de directeuren en op basis daarvan eventueel accenten leggen voor de planning. De planning wordt tevens iedere 2 weken in het MT besproken, samen met de urenverantwoording. 6. Welke normenkaders worden er gebruikt? Bij de Departementale Audit Dienst worden als normenkader ITIL, CobiT en COSO gehanteerd. Daarnaast is er het Voorschrift Informatiebeveiliging Rijksdienst (VIR), dit is het interne normenkader gebaseerd op de Code Informatiebeveiliging. Binnen het VIR is de Afhankelijkheids & Kwetsbaarheids (A&K) analyse erg belangrijk. Bij geen scheiding IT en operational audit: 1. Wat zijn de voor en de nadelen? Voordelen:

• Geïntegreerd auditen, hierdoor is het mogelijk om alle bedrijfsprocessen aan de orde te laten komen. De auditors krijgen op deze manier kennis van de gehele organisatie;

• Geen competentiestrijd omdat er geen koppeling naar deskundigheid is. Dit kan ook als een nadeel werken;

• Zonder scheiding is het mogelijk om de audit functie klantgericht in te delen in plaats van op een product.

45

Nadelen:

• Geen inzicht of de juiste kennis op de juiste plaats wordt ingezet. Op deze manier is er geen sprake van optimalisatie van de kennis;

• Er is geen onderhoud van kennis. Door EDP auditors vaak in te zetten bij geïntegreerde audits is het moeilijk om kennis uit te wisselen. Als EDP auditors in een team van EDP auditors werken is kennis onderhoud en overdracht eenvoudiger.

2. Welke type audits vinden er plaats? En welke andere werkzaamheden (advies, speciale onderzoeken, due

diligence, sox, sas, etc)? Binnen het Ministerie van Justitie worden veel adviesopdrachten uitgevoerd, met daarnaast veel speciale onderzoeken naar bijvoorbeeld ketens en integriteit. Binnen het Ministerie van Justitie vinden geen due diligence en Soxa audits plaats. 3. Wie voert welke type audit uit? In de praktijk komt het er op neer dat de operationele audits door zowel operational als IT auditors worden uitgevoerd. Audits met veel IT componenten worden toch door EDP auditors uitgevoerd, bijvoorbeeld een audit naar de fysieke beveiliging van het datacentrum. 4. Is er specifieke kennis van IT nodig? Specifieke IT kennis is binnen de Departementale Audit Dienst van het Ministerie van Justitie niet echt nodig. De datacenters zijn voornamelijk gericht op midrange systemen, er zijn geen mainframes bijvoorbeeld. Hierdoor is geen specialisatie van IT auditors noodzakelijk. 5. Wie voert de echte technische audits uit, bijv. firewall settings/netwerk/etc? IT audits waarbij specialisme noodzakelijk is worden voornamelijk uitgevoerd door EDP auditors uit de EDP pool. In het geval dat er geen resource beschikbaar is met het gewenste specialisme is het mogelijk om extern in te huren. De EDP pool is opgebouwd uit specialisten, de Departementale Audit Dienst van het Ministerie van Justitie is opgebouwd uit generalisten. 6. Worden er General IT audits gedaan en door wie? Er worden door de Departementale Audit Dienst General IT audits uitgevoerd. De EDP auditors voeren deze audits uit. Het komt zelden voor dat een operational auditor een General IT audit uitvoert. 7. Wie controleert de logische toegangsbeveiliging? Evenals bij General IT controls, worden de EDP auditors ingezet op audits naar de logische toegangsbeveiliging. 8. Hoe zijn de audit programma’s opgesteld en hoe komen daar de verschillende disciplines in terug

(geintegeerd of specifiek)? Bij de Departementale Audit Dienst worden geen standaard audit programma’s ontwikkeld en gebruikt. Bij aanvang van een audit wordt een Plan van Aanpak opgesteld. In het Plan van Aanpak worden de objecten welke geaudit dienen te worden meegenomen. Ook bij de jaarrekening controle wordt er geen gebruik gemaakt van een standaard audit programma. Volgens Jan is standaardisatie complexer door de vele speciale onderzoeken welke uitgevoerd worden. Wel is Jan van mening dat er standaard audit programma’s opgesteld en gebruikt zouden moeten worden. 9. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc? Bij de audit dienst wordt gesteld dat de vooropleiding op academisch niveau is, met een enigszins relevante richting zoals Informatica, Bedrijfskunde etc. Vervolgens is het verplicht om een post doctorale audit opleiding te volgen.

Een optimaal model van de inrichting van een interne audit ... · PDF file2 Management...

Documents

Transcript of Een optimaal model van de inrichting van een interne audit ... · PDF file2 Management...