Samenwerking tussen Operational- en IT-auditor

Transcriptie

1 Samenwerking tussen Operational- en IT-auditor randvoorwaarden, mogelijkheden en domeinen voor de samenwerking tussen de Operational en de it-auditor Instituut van Internal Auditors Nederland

2 Samenwerking tussen Operational- en IT-auditor Randvoorwaarden, mogelijkheden en domeinen voor de samenwerking tussen de Operational en de IT-auditor Instituut van Internal Auditors Nederland

3 Colofon Redactie Frits Engel EMIA RO CCSA drs. Piet Goeyenbier RE RA RO Albert Kuppers RE Overige werkgroepleden drs. Danielle van Emmerik RA RO drs. Ruth van den Heuvel-Slappendel EMIA RO drs. Xu-Yao Pan EMIA RO drs. ing. Arno Nuijten RE CIA CISA drs. Marc van der Veen RA Disclosure IIA publiceert dit document voor informatieve en educatieve doeleinden. Het rapport is met name bedoeld als gids. In dit rapport komen Engelse woorden voor. Wij hebben ervoor gekozen om over het algemeen geen vertaling op te nemen. Om de leesbaarheid te vergroten hebben wij er voor gekozen om in de hoofdtekst geen literatuurverwijzingen op te nemen. Deze literatuurverwijzingen zijn wel in de bijlagen opgenomen. Copyright Het copyright van deze publicatie is in handen van IIA Nederland. Toestemming voor reproductie kunt u per aanvragen bij IIA via iia@iia.nl. 4

4 Voorwoord De missie van IIA Nederland is om het beroep en vak internal audit in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden behulpzaam te zijn bij een succesvolle invulling van de internal audit functie. De geautomatiseerde informatievoorziening is vandaag de dag niet meer weg te denken uit de organisatie en raakt alle beheersaspecten en processen van een organisatie. De Operational- (OA) en de IT-auditor (ITA) kunnen elkaar uitstekend aanvullen en samenwerken op de gebieden van beheersing van organisatie, processen, projecten, risico s en informatievoor-ziening. Vanuit de Commissie Vaktechniek heeft een enthousiaste werkgroep invulling gegeven aan het onderzoeken en het nader uitwerken van die samenwerking tussen OA en ITA en daarbij tevens ingezoomd op de onderkende beheersgebieden. Ik dank de werkgroepleden hartelijk voor hun inzet om de leden van IIA Nederland inzicht te geven in zowel de gedrags- als de methodische aspecten van de samenwerking tussen OA en ITA en daarnaast de grote hoeveelheid nuttige documenten die via de website van IIA ( te ontsluiten zijn via 22 referentiekaarten over uiteenlopende en relevante onderwerpen van de hiervoor genoemde te beheersen gebieden. Ik adviseer een ieder die werkzaam is op het raakvlak organisatie/informatievoorziening kennis te nemen van deze rapportage. Michel Kee RA Voorzitter IIA Nederland 5

5 Dankwoord We willen graag van de gelegenheid gebruik maken om alle 300 IIA leden die meegedaan hebben aan onze enquête over de samenwerking tussen de Operational- en IT-auditor te bedanken. Verder dank aan de auditmanagers met wie wij de resultaten van de enquête hebben besproken en van wie wij reacties hebben ontvangen over de herkenbaarheid van de resultaten. Uiteraard ook dank aan de auditmanagers van de organisaties die ons informatie over de organisatie van hun internal audit functie hebben gegeven en alle anderen die een bijdrage hebben geleverd. 6

6 Inhoudsopgave Waar gaat het over? 8 1 Waar doen wij het voor? Vertrekpunt en afbakening Werkwijze Leeswijzer Deel 1 Generieke aspecten bij de samenwerking tussen OA en ITA 10 1 Waar gaat het over? Regelgeving OA en ITA Organisatorische aspecten Gedragsaspecten Audituitvoering en samenwerking Overeenkomsten en verschillen Deel 2 De gebieden voor samenwerking van OA en ITA 18 1 Waar gaat het over? Organisatiebeheersing Risico- en projectbeheersing Procesbeheersing Beheersing informatievoorziening Beveiliging informatievoorziening Tot slot Referentiekaarten Bijlagen 1 Relevante regelgeving voor OA en ITA 2 Inventarisatie praktijk IA-functie met betrekking tot OA en ITA 3 Gedragsaspecten samenwerking OA en ITA 4 Integrated auditplanning: een stappenplan 5 Inventarisatie werkwijze op basis van de theorie van OA en ITA De bijlagen en de referentiekaarten vindt u op deze cd of kunt u downloaden van de website van IIA. 7

7 Waar gaat het over? 1 Waar doen wij het voor? De steeds intensievere informatisering en de continue aandacht voor organisatie- en procesverbetering zorgen er voor dat de Operational Auditor (OA) en de IT-auditor (ITA) elkaar steeds vaker in het werkveld tegenkomen en samen optrekken. De commissie vaktechniek van het IIA heeft een werkgroep ingesteld om nader onderzoek te doen op dit gebied. Met dit rapport willen wij good practices beschikbaar stellen die de samenwerking tussen de OA en de ITA bevorderen. Zij vormen dan ook de primaire doelgroepen waar wij ons op richten. Dit rapport geeft ook nuttige handvatten voor anderen. Wij denken dan vooral aan de financial auditors, controllers en management. 2 Vertrekpunt en afbakening De centrale vraag die wij proberen te beantwoorden is: Op welke wijze en op welke terreinen kunnen de OA en ITA samenwerken en hoe kan die samenwerking worden bevorderd? Bij de beantwoording van deze vraag hebben wij een drietal onderwerpen onderscheiden, waarvan de eerste twee in elkaars verlengde liggen: 1. Welke randvoorwaarden of aandachtspunten hebben invloed op de samenwerking tussen OA en ITA? Hoe kunnen deze de samenwerking bevorderen? Dit betreft onderwerpen als organisatie, communicatie, gedragsaspecten, regelgeving en de beroepsorganisaties. 2. Welke good practices zijn er bij de samenwerking op het gebied van de uitvoering te vinden? Hier gaan wij in op de verschillende fasen van de audit en een aantal onderwerpen zoals jaarlijkse risicoanalyse, planning, jaarplan, projectplan, aanpak, referentiemodel, normenkader, dossiervorming en kwaliteitsborging. 3. Welke domeinen lenen zich voor samenwerking tussen OA en ITA? In de vorm van referentiekaarten worden deze domeinen behandeld. Als afbakening hebben wij ervoor gekozen ons specifiek te richten op die factoren die de samenwerking tussen OA en ITA direct beïnvloeden. Wij gaan niet specifiek in op de positionering van de Internal Audit Functie zelf. Daaraan wordt in andere studies, richtlijnen en documenten al genoeg aandacht geschonken. Verder richten wij ons vooral op de assurancefunctie, de resultaten zullen breder toepasbaar zijn. 3 Werkwijze Wij zijn op zoek gegaan naar de randvoorwaarden die van invloed zijn op de samenwerking tussen en de overeenkomsten en verschillen met betrekking tot de OA en de ITA. Tevens hebben we onderzocht waar de OA en ITA elkaar tegen (kunnen) komen. Er is een groot aantal onderwerpen te onderkennen, waarop de OA en ITA goed kunnen samenwerken en die voor een good practice in aanmerking kunnen komen. Om het geheel overzichtelijk te houden hebben we keuzes gemaakt. Wij pretenderen dan ook niet dat wij volledig zijn met de uiteindelijk 22 referentiekaarten met domeinen waarop de OA en ITA kunnen samenwerken. Deze referentiekaarten zijn niet in dit rapport opgenomen maar via het besloten deel van te benaderen. 4 Leeswijzer Het rapport bestaat uit twee delen. Deel 1 bevat een generieke beschrijving waarin wordt ingegaan op de randvoorwaarden of aandachtspunten die de samenwerking tussen de OA en de ITA kunnen bevorderen. In dit deel wordt ook aandacht gegeven aan gedragsaspecten bij de samenwerking en de audituitvoering. 8

8 In deel 2 hebben wij de toelichting op de referentiekaarten opgenomen. Deze hebben wij geclusterd in vijf groepen van organisatiebeheersing van proces- en risico- en projectbeheersing tot de beheersing en de beveiliging van de informatievoorziening. Bijzonder aan de referentiekaarten is dat wij in de digitale versie van de referentiekaarten ( good practices in de vorm van ingesloten documenten hebben opgenomen. Hiermee zijn tientallen MB s aan nuttige en waardevolle documenten vanuit het vrije domein (internet) in deze referentiekaarten opgenomen. In de vijf bijlagen zijn de resultaten van het veldwerk opgenomen die de basis vormen voor deel 1 De generieke aspecten van samenwerking tussen OA en ITA. De gehele rapportage (rapport, de vijf bijlagen en de 22 referentiekaarten) wordt in onderdelen beschikbaar gesteld als download via het besloten deel van de website van IIA ( en vindt u op deze cd. 9

9 Deel 1: Generieke aspecten bij de samenwerking tussen OA en ITA 1 Waar gaat het over? In dit deel gaan wij in op de randvoorwaarden en aandachtspunten die van invloed zijn op de samenwerking tussen de Operational auditor (OA) en de IT-auditor (ITA). Tevens gaan wij in op de uitvoering van deze samenwerking. In de volgende paragrafen zal dieper ingegaan worden op regelgeving, organisatorische aspecten, gedragsaspecten en werkwijze. We sluiten dit deel af met een overzicht van de overeenkomsten en verschillen bezien vanuit de OA en ITA. 2 Regelgeving OA en ITA De Operational- en IT-auditors hebben geen specifieke wetgeving waaraan zij zich moeten houden. Ze hebben wel te maken met de regelgeving die door de beroepsorganisaties IIA (Instituut van Internal Auditors (voor alle internal- en operational auditors)) en NOREA (Nederlandse Orde van Register EDP-auditors (specifiek voor IT audit)) is uitgegeven. In bijlage 1 Relevante regelgeving voor OA en ITA is een inventarisatie opgenomen van de relevante regelgeving, alsmede een vergelijking van de postdoctorale opleidingen. De belangrijkste constatering is dat er meer overeenkomsten dan verschillen in de regelgeving zijn. Voor de ITA zijn meer gedetailleerde uitwerkingen in de Nederlandse taal beschikbaar. Een belangrijk verschil is dat NOREA en daarmee de gecertificeerde IT-auditor RE erkend is door de NBA (Nederlandse Beroepsorganisatie van Accountants) als opdracht-verantwoordelijke voor assurance-opdrachten en overeengekomen specifieke werkzaamheden; IIA en daarmee de RO is dat (nog) niet. Hoewel dit primair betrekking heeft op de externe auditors, zal dit waarschijnlijk ook gevolgen hebben voor de interne auditors die geen RA of RE zijn bij het gebruik van hun assurancerapporten door RA s. Op het gebied van de kwaliteitstoetsing van de internal auditfunctie (IAF) wordt steeds nauwer samengewerkt tussen NBA, NOREA en IIA. Eind 2010 is IIA geaccrediteerd door het NBA om kwaliteitstoetsingen uit te voeren bij internal auditfuncties. NOREA en IIA zijn in gesprek om tot een soortgelijke accreditatie te komen. Resumerend: de regelgeving van OA en ITA bevat veel overeenkomsten, hoewel er accentverschillen bestaan. De regelgeving hoeft dan ook een goede samenwerking tussen OA en ITA niet in de weg te staan. De postdoctorale opleidingen voor OA en ITA zijn van een vergelijkbaar niveau en beiden schenken aandacht aan de andere auditdisciplines, hetgeen de samenwerking tussen de OA en ITA bevordert. 3 Organisatorische aspecten Wij hebben als uitgangspunt gehanteerd dat de OA en ITA werkzaam zijn in dezelfde organisatorische eenheid, die wij hier verder duiden als de internal auditfunctie. De positionering van de internal auditfunctie in de organisatie is van invloed op de effectiviteit van de werkzaamheden en de producten van de auditfunctie als geheel. Deze positionering beïnvloedt de samenwerking van OA en ITA niet wezenlijk. De inrichting van de auditfunctie zelf is wel van invloed op de samenwerking. In deze paragraaf besteden we daarom uitsluitend aandacht aan de organisatie van de auditfunctie zelf. We baseren ons hierbij mede op een inventariserend onderzoek bij internal auditfuncties van grote organisaties (zie bijlage 2 Inventarisatie praktijk IA-functie m.b.t. OA en ITA ). 10

10 Wanneer de interne auditfunctie in een organisatie groter wordt kan het, voor de beheersbaarheid, nodig zijn een bepaalde verdeling in afdelingen, secties, clusters etc. door te voeren. Hierbij zijn de volgende varianten te onderkennen: inrichting op basis van auditdisciplines (discipline- of productgericht); inrichting op basis van de organisatie (organisatie-, klant- of objectgericht); matrixorganisatie (zowel naar organisatie als discipline). Ten behoeve van een effectieve samenwerking tussen OA en ITA gaat de voorkeur uit naar een inrichting van de auditfunctie naar organisatieonderdeel (of controleobject). De verschillende auditdisciplines zitten dan in één organisatorische eenheid en bedienen gezamenlijk de klant. De onderzoeken kunnen zowel integrated als door een afzonderlijk specialisme worden uitgevoerd. Een aandachtspunt bij de organisatie-, klant- of objectgerichte indeling is dat de afzonderlijke disciplines (OA en ITA) meer verdeeld zitten in de organisatie, wat ten koste kan gaan van de ontwikkeling van de discipline. Oplossingen hiervoor zijn bijv. werkgroepen waarbinnen (specialistische) kennisontwikkeling in de vorm van kennisprojecten plaats kan vinden en uiteraard vaktechnisch overleg per discipline. Belangrijk is echter dat binnen de internal auditfunctie sprake is van dezelfde doelstellingen, een gemeenschappelijke basis in de wijze van communiceren binnen de organisatie, omgaan met opdrachtgevers en auditees, ethiek, omgaan met fraude, overwinnen van weerstand en bijdragen tot organisatieverandering. De IIA-Publicatie Behavioral Dimensions of Auditing: A Practical Guide to Professional Relationships in Internal Auditing beschrijft deze gemeenschappelijke basis. Andere maatregelen die de samenwerking tussen de beide auditdisciplines bevorderen zijn: het beschikken over een marktplaats (en/of kennissysteem) waar vraag en aanbod van deskundigheden elkaar kunnen vinden; bevorderen van gemeenschappelijke kennis door: - medewerkers te laten scholen in beide disciplines; - communicatie over de disciplines heen (bijeenkomsten van de ene discipline zijn ook toegankelijk voor de andere discipline); - communicatie over nieuwe ontwikkelingen vanuit de verschillende disciplines bv. in periodieke gezamenlijke vaktechnische bijeenkomsten of in een nieuwsbrief; gebruik van dezelfde aanpak, dossiervorming, (rapportage-) standaarden, enz. (zie par. 5). 4 Gedragsaspecten en samenwerking Zoals hiervoor is aangegeven, zijn er veel overeenkomsten en een paar verschillen tussen de OA en de ITA in de kennis en ervaringen die ze hebben opgebouwd in opleidingen en werk. De vraag is of een ITA niet een andere stijl heeft van waarnemen, aanpakken en communiceren dan een OA. Dit kan (door training) zo ontwikkeld zijn, maar het kan ook zijn dat iemand zich juist daardoor aangetrokken voelde tot de één van beide functies. Hier gaan wij in op enkele aandachtspunten vanuit de gedragsaspecten. Deze zijn gebaseerd op een literatuur-review, een aantal interviews bij interne auditfuncties en de antwoorden van 300 IIA-leden op een enquête die wij eind 2010 hebben gehouden. De resultaten van dit onderzoek zijn opgenomen in bijlage 3 Gedragsaspecten samenwerking OA en ITA. Op basis van het onderzoek hebben we enige aandachtspunten ten aanzien van de gedragsaspecten onderkend die een rol kunnen spelen in de communicatie en samenwerking tussen de OA en de ITA. Uitgangspunt hierbij is dat er sprake is van een gemeenschappelijke basis, zie voorgaande paragraaf. 11

11 Good practices bij de samenwerking a. Voldoende gemeenschappelijke kennis Het onderzoek bevestigt de behoefte aan basiskennis van beide vakgebieden bij zowel OA als ITA. Kennis van IT en businessprocessen is nodig om met elkaar te kunnen discussiëren over de weging van (IT-gerelateerde) risico s en om elkaar tijdig in te schakelen (onderkennen dat de aanvullende kennis van de ander nodig is). Samenwerking en discussie kunnen bekende biases ondervangen die kunnen leiden tot overschatten of onderschatten van IT-gerelateerde risico s. b. Een goede afstemming aan het begin van de audit Uit de enquête blijkt dat een betere afstemming tussen OA en ITA bij de aanvang van audits wenselijk is. Het beeld komt maar voren dat zowel ITA als OA zich bij de start van een audit eerst richten op hun eigen werkterrein en minder goed in beeld hebben welke activiteiten de ander oppakt. Daarbij is opvallend dat voor de OA blijkbaar minder prominent zichtbaar is vanuit welke doelen en prioriteiten de ITA zijn werkzaamheden inricht. Samenwerking bij de auditplanning en bij de intake is aan te bevelen. c. Verschillen in voorkeursstijlen Accentverschillen in voorkeursstijlen van OA en ITA bieden aanknopingspunten om het auditteam zo sterk mogelijk aan te laten sluiten op de aard van de opdracht. Uit de enquête komen accentverschillen naar voren in de mate waarin OA en ITA zich richten op hoofdlijnen dan wel oog hebben voor details. De OA lijkt zich meer te richten op softcontrols en zich minder te richten op data-analyse dan de ITA. Tevens komt als accentverschil naar voren dat de OA meer geneigd is om het glas als half vol te beschouwen terwijl de ITA meer geneigd is om het glas als half leeg te bezien. De ITA wordt door de respondenten sterker geacht in het planmatig toetsen (van processen en gegevens) dat aan externe normen wordt voldaan. Een organisatorische bundeling kan worden gekozen om zoveel mogelijk synergie te halen uit de overeenkomsten en verschillen tussen OA en ITA. d. Focus op de doelgroep Uit het onderzoek komt het beeld naar voren dat de OA zich in zijn rapportage meer verplaatst in het gedachtegoed van het business management en zich minder bedient van vakjargon dan de ITA. Dit brengt met zich mee dat de ITA zich binnen dit vakjargon preciezer en geloofwaardiger kan uitdrukken wanneer de doelgroep van de audit dit vakjargon deelt, dus bijvoorbeeld IT-management, IT-specialisten en andere (externe) IT-auditors. Daarom is het verstandig om de samenstelling en taakverdeling van het audit-team ook in dit opzicht af te stemmen op de doelgroep van de audit. e. OA en ITA vullen elkaar aan De OA en de ITA kunnen qua kennis en competenties elkaar aanvullen. Door samenwerking kunnen biases worden verminderd en kan de effectiviteit van het audit-product worden versterkt. Voorwaarde daarbij is dat er een gemeenschappelijke basis aan kennis van auditing, IT en bedrijfsprocessen bij OA en ITA aanwezig is. Het werkgebied van de OA en de ITA is op veel plaatsen dusdanig complex en uitgebreid, dat verbijzonderde rollen en competenties noodzakelijk blijven. Dus samenwerking tussen de OA en de ITA heeft toekomst. 5 Audituitvoering en samenwerking In de literatuur treffen we relatief weinig voorbeelden aan van de samenwerking tussen de OA en de ITA. In bijlage 4 Integrated auditplanning: een stappenplan hebben wij een samenvatting opgenomen van de beschikbare literatuur op dit gebied. In deze bijlage 4 wordt, gebaseerd op het literatuuronderzoek, een stappenplan voorgesteld, dat wij in deze paragraaf kort behandelen. Verder gaat deze paragraaf in op de aspecten die samenhangen met de uitvoering van de audit. Voor de nadere uitwerking van dit onderwerp verwijzen wij naar bijlage 5 Inventarisatie werkwijze o.b.v. de theorie van OA en ITA. 12

12 A. Integrated auditplanning: een stappenplan Het risico is aanwezig dat zonder concrete sturing de verschillende auditdisciplines hun eigen ding doen, zonder onderlinge afstemming, samenwerking of integratie. Verder bestaat het risico dat elke discipline een oordeel geeft over een deelaspect van de bedrijfsvoering terwijl het management verantwoordelijk is voor de bedrijfsvoering als geheel. Een integraal oordeel en afgestemde aanbevelingen vanuit de interne auditfunctie zou beter aansluiten bij de managementverantwoordelijkheid. Dit kan bereikt worden door een integrated audit. Hiertoe is een goede planning essentieel om te kunnen komen tot het gewenste integrale oordeel en de afgestemde bevindingen en aanbevelingen. Wij onderkennen de volgende stappen: Stap 1. Breng relaties tussen processen en systemen in beeld De internal audit functie moet allereerst inzicht hebben in de manier waarop de processen en systemen binnen de organisatie zich tot elkaar verhouden. De relaties dienen (schematisch, bijvoorbeeld in een procesdecompositie) in kaart gebracht te worden. Zo wordt duidelijk welke operationele en beheersingsprocessen gebruik maken van welke ITsystemen, en welke operationele processen ondersteunend zijn aan de IT-systemen. Maar ook andere relaties zijn mogelijk, bijvoorbeeld die tussen IT en de strategievorming en -realisatie. N.b. in de referentiekaart 3.4. A&K Analyse (Afhankelijkheids- en Kwetsbaarheidanalyse) wordt een aanpak toegelicht die als hulpmiddel kan dienen om inzicht te krijgen in de relatie tussen processen en informatiesystemen. Stap 2. Hanteer één audit universe Door de systemen en processen met hun onderlinge relaties in beeld te brengen kan er ook worden toegewerkt naar één audit universe. De audit universe is de verzameling van gebieden (bijv. activiteiten, afdelingen, risico s, systemen) die geaudit kunnen worden binnen een organisatie. Het is belangrijk dat de verschillende auditdisciplines niet ieder hun eigen universe hanteren. Het is dus niet de bedoeling dat bijvoorbeeld ITA een eigen universe opstelt, redenerend vanuit systemen/infrastructuren, en dat OA op basis van processen haar universe opstelt. In plaats daarvan moet één universe worden opgesteld. Het gaat dus om het integreren van auditobjecten in plaats van het integreren van auditdisciplines. Stap 3. Voer een gezamenlijke risicoanalyse uit en stel één audit jaarplan op Bij de gezamenlijke risicoanalyse moeten alle bedrijfsvoeringaspecten worden meegenomen. Maak indien mogelijk hierbij ook gebruik van de door de business zelf uitgevoerde risicoanalyse. Het resultaat van deze stap is een geïntegreerd audit jaarplan voor de financiële, operationele en IT-audits dat aan het audit committee c.q. directie, RvB kan worden aangeboden. De geïntegreerde risicoanalyse leidt niet alleen tot een gezamenlijke selectie en afbakening van audits, maar kan tevens de basis vormen voor een geïntegreerde voorbereiding, uitvoering en rapportage. Een andere positieve bijkomstigheid van een jaarplan is dat de audits tijdig bekend gemaakt kunnen worden bij de auditee. Nb. er kan ook worden gewerkt met een meerjaren audit plan dat periodiek wordt herijkt. Stap 4. Bepaal de mate van integratie per audit (integrated audit) Als laatste stap moet bepaald worden in hoeverre audits zelf ook geïntegreerd uitgevoerd moeten/kunnen worden. Dit kan door te kijken naar kwaliteitsaspecten die voor de uitvoering van de geïntegreerde audit van belang zijn. Vanuit deze aspecten kan afgeleid worden welke auditdisciplines daarbij betrokken moeten worden. 13

13 B. De uitvoering (gemeenschappelijke aanpak, dossiervorming, rapportage enz.) Wij hebben aangegeven dat het gebruik van dezelfde aanpak, dossiervorming en (rapportage)standaarden de samenwerking tussen OA en ITA bevordert. Hieronder gaan we daar nader op in. Voor meer informatie en de gehanteerde literatuur verwijzen wij naar bijlage 5 Inventarisatie werkwijze o.b.v. de theorie van OA en ITA. 1. Audit(jaar)planning Het bestaan van een geïntegreerd audit(jaar)plan is belangrijk om tot een effectieve en efficiënte samenwerking te komen die toegevoegde waarde heeft voor een organisatie. Wij hebben hiervoor een aantal handvatten beschreven om te komen tot deze geïntegreerde planning. 2. Fasering van de audit Hoewel de bewoordingen iets kunnen verschillen, kennen Operational- en IT-audits grofweg dezelfde fasering van de audit. Bij de uitvoering van een audit worden de volgende stappen onderkend: 1. Vooronderzoek 2. Opdrachtverstrekking en rapportage 3. Uitvoering van het onderzoek 4. Rapportage 5. Evaluatie 6. Follow up. 3. Kwaliteitsaspecten en objecten van onderzoek Bij een onderzoek staan de onderzoeksobjecten en de kwaliteitsaspecten van die onderzoeksobjecten centraal. Bij de OA kan bij een onderzoeksobject vooral worden gedacht aan een proces of een organisatie. Bij de ITA kan daarnaast nog worden gedacht aan een geautomatiseerd informatiesysteem of een onderdeel van de technische infrastructuur. Bij de OA staan de kwaliteitsaspecten effectiviteit en efficiency, die vaak worden genoemd in relatie tot de beheersbaarheid, centraal. De ITA kent de kwaliteitsaspecten exclusiviteit, integriteit, continuïteit, controleerbaarheid, onweerlegbaarheid en beheersbaarheid naast de effectiviteit en efficiency die ook de OA hanteert. De kwaliteitsaspecten integriteit, continuïteit en exclusiviteit worden ook wel aangeduid met het containerbegrip betrouwbaarheid. De OA en ITA vullen elkaar hier goed aan. 4. Normering en referentiemodel Bij de beoordeling kan aandacht worden geschonken aan zowel inrichting (opzet en bestaan) als de werking van de beheersingsmaatregelen. Een referentiekader of een normenkader is een nuttig hulpmiddel tijdens de uitvoering van de audit. De te toetsen objecten en kwaliteitscriteria moeten goed zijn uitgewerkt in het referentiemodel. Bij het komen tot een referentiemodel of normenkader is het handig gebruik te maken van kaders, standaarden en normen die worden aangeboden vanuit de markt (zoals ISO, INK, Prince2, CobiT, ITIL) en vanuit de beroepsorganisaties (IIA, NOREA, NBA, enz.). Daarbij wordt uiteraard aandacht besteed aan de beheersmaatregelen die het management belangrijk vindt. Vooral de ITA kan steeds meer gebruik maken van meer (technische) standaarden en normen die door leveranciers van hard- en software dan wel internationale organisaties beschikbaar worden gesteld (ISO-standaarden, zoals de Code voor Informatiebeveiliging en standaarden van NIST, National Institute of Standards en Technology). De OA zal minder gebruik kunnen maken van dergelijke standaarden en normen en het referentiemodel zelf moeten opstellen, waarbij hij wel gebruik kan maken van generieke modellen als COSO, Prince2, KAD, Simons, 6Sigma, enz.. Normenkader en referentiemodel zijn een hulpmiddel om de ist-situatie met de soll-situatie te vergelijken, de afwijkingen te analyseren en te wegen en zo te komen tot bevindingen 14

14 (en aanbevelingen). Dit dient uiteindelijk als de basis voor de oordeelsvorming. Voor zowel de OA als de ITA is het vanzelfsprekendheid om het tijdens de audit te gebruiken referentiemodel c.q. normenkader vooraf af te stemmen met de opdrachtgever. 5. Controlemiddelen en mate van zekerheid Vooral bij assurance-opdrachten waarbij een redelijke mate van zekerheid moet worden verstrekt is het van belang dat er sterke controlemiddelen worden gebruikt, die dus in belangrijke mate bijdragen tot het bewijs. Op basis van het gedane onderzoek en het daarmee verzamelde bewijs kan meer of minder zekerheid worden verstrekt. De OA en de ITA gebruiken dezelfde hulpmiddelen. Steekproeven en data-analyse zijn ook voor OA nuttige hulpmiddelen. Hierbij kan de ITA juist van toegevoegde waarde zijn met zijn kennis van de geautomatiseerde informatievoorziening. 6. Rapportage De auditrapportage is het eindproduct en daarmee ook het visitekaartje van de auditor. Een auditrapport bevat normaliter de volgende onderwerpen: opdracht (doelstelling van de audit); onderzoeksobject (beschrijving van het onderzochte gebied); de criteria die tijdens het onderzoek zijn onderzocht; de bevindingen (en aanbevelingen) resulterend uit het onderzoek; het oordeel over de kwaliteit van de beheersing. Nb.: Bij een assurancerapport staat de conclusie (het oordeel) centraal, deze moeten gebaseerd zijn op de bevindingen en de aanbevelingen komen op de tweede plaats. 7. Dossiervorming Dossiervorming: het dossier is zowel verantwoordingsmiddel (over de uitgevoerde audit) als communicatiemiddel (voor toekomstige audits). Het dossier bevat minimaal: vooronderzoek (indien van toepassing); opdrachtbevestiging; auditplan en uitgevoerde auditwerkzaamheden; auditbevindingen en bewijsmateriaal; vastleggingen van overwegingen aangaande aspecten die vakkundige oordeelsvorming vergden, zoals deelconclusies en de afwerking van aantekeningen; rapportage (concepten en de definitieve versie van het rapport). Belangrijk is dat de audittrail in het dossier goed vastgelegd is. Voor de dossiervorming is een indeling op basis van de hiervoorgenoemde stappen tijdens een onderzoek handig. 8. Kwaliteitsborging (op opdrachtniveau) Op het niveau van de interne auditfunctie is de huidige stand van zaken dat de beroepsorganisaties NBA (NIVRA en NOvAA), NOREA en IIA gezamenlijk de kwaliteitstoets naar hun functioneren uitvoeren en daarvoor een en dezelfde aanpak en normering hanteren. Hierbij wordt ook aandacht geschonken aan de kwaliteitsborging op het niveau van een opdracht. Naast het hanteren van aandachtspunten voor de diverse onderdelen (plan van aanpak, referentiemodel, rapportage en dossiervorming) is het toepassen van peer reviews of onafhankelijke kwaliteitstoetsen op die afzonderlijke onderdelen gemeengoed. Beschouwing Uit het voorgaande kan worden afgeleid dat er veel overeenkomsten en geen wezenlijke verschillen zijn tussen de werkwijze van een OA en van een ITA. Een klein verschil is dat een OA zelf meer invulling moet geven aan een referentiemodel, terwijl de ITA daarbij meer gebruik kan maken van bestaande standaarden en good practices. 15

15 Verder vullen de OA en de ITA elkaar vooral goed aan: - de OA is ook gericht op de organisatie en de besturing daarvan en besteedt onder meer aandacht aan de kwaliteitsaspecten efficiency, effectiviteit en cultuur en de menselijke kant; - de ITA is vanzelfsprekend meer gericht op de beheersing van de ICT en de ondersteuning van de processen d.m.v. ICT en richt zich vooral op de kwaliteitsaspecten continuïteit, integriteit en exclusiviteit. 6 Overeenkomsten en verschillen In onderstaande tabel geven wij inzicht in de belangrijkste overeenkomsten en verschillen tussen de OA en de ITA, zoals al in voorgaande paragrafen is uitgewerkt. Tevens wordt inzicht gegeven in enkele maatregelen die de samenwerking tussen beide auditdisciplines bevorderen. ONDERWERP OVEREENKOMSTEN VERSCHILLEN Regelgeving Gedragsaspecten Opleidingen RO en RE Vaktechnische literatuur Werkwijze Deskundigheid, geheimhouding, opdrachtaanvaarding, assurance, uitvoering, dossiervorming, enz.. Zij hebben beiden opleiding en ervaring als auditor, dwz het toetsen aan normen (evidence based). Gemeenschappelijke basis in de vorm van BIV-AO en (financial) auditing. rapporten en praktijk-handreikingen en vakblad AUDIT magazine. Practice guides: 16 GTAG s en 3 GAIT s en vakblad Internal Auditor. handreikingen en studierapporten en vakblad de IT-auditor Fasering onderzoek (gaat bij OA iets verder met evaluatie en follow-up) Referentiemodel/normenkader dossiervorming, rapportage, kwaliteitsborging, enzovoort. NOREA volgt de IFAC-standaarden meer dan IIA. IT-auditor is erkend door NBA als assurance verschaffer. NOREA meer standaarden in Nederlands dan IIA. Bij IIA wel alle standaarden beschikbaar in het Engels. OA neigt meer naar glas half vol en rapporteert meer gericht op algemeen management. De ITA neigt meer naar glas half leeg en rapporteert meer gericht op IT-management. De verschillen worden ingegeven door het verschil in werkgebied. NOREA ( richt zich specifiek op de IT-auditor. IIA richt zich specifiek op de internal auditor en schenkt daarbij zowel aandacht aan FA, OA en ITA. IIA is een internationaal werkende organisatie. OA: soft controls, effectiviteit en efficiency. Veelal zelf referentiemodel opstellen. ITA: technische aspecten, continuïteit, exclusiviteit en integriteit. Meer (technische) standaarden (ISO 27002, enz.) beschikbaar. 16

16 ONDERWERP Auditorganisatie Audit(jaar)plan De samenwerking tussen OA en ITA wordt bevorderd door: Onderbrenging van de OA en ITA in een klantgerichte organisatie (waarin alle disciplines vertegenwoordigd zijn). Een aandachtspunt hierbij is het op peil houden van de specifieke kennis van de beide auditdisciplines. Integrated (één- of meerjarig) auditplan (gebaseerd op een integrale risico-analyse). Uit het overzicht blijkt dat er meer overeenkomsten zijn dan verschillen. Door de overeenkomsten (gemeenschappelijke uitgangspunten) wordt de samenwerking bevorderd. Door de verschillen kunnen de OA en ITA elkaar juist aanvullen en versterken en zo van meer toegevoegde waarde zijn voor de organisatie. De organisatorische inbedding en een integrated aanpak versterken de samenwerking tussen beide auditdisciplines. 17

17 Deel 2: De gebieden voor samenwerking tussen OA en ITA 1 Waar gaat het over? In dit tweede deel gaan wij in op 22 domeinen waarop de OA en de ITA elkaar kunnen treffen. Wij hebben daarbij een clustering gemaakt van die 22 domeinen naar vijf gebieden om het geheel toegankelijker te maken. Met deze vijf door ons gekozen gebieden en de 22 domeinen hebben wij een belangrijk deel van terrein waarop de OA en de ITA kunnen samenwerken behandeld. Maar wij zijn hierbij niet volledig. Een domein kan betrekking hebben op een containerbegrip als informatiebeveiliging, maar kan ook betrekking hebben op een concreter instrument/model als ISAE In het eerste geval is veelal sprake van meerdere instrumenten/modellen die dan vaak wel worden genoemd of zijn als document opgenomen in een referentiekaart (wordt hierna toegelicht). In het tweede geval wordt wel nader ingegaan op het specifieke instrument/model. Centraal staat dat het onderwerpen betreft die nuttig zijn voor de samenwerking tussen de OA en ITA. Als er door de OA en ITA wordt samengewerkt op een of meerdere van die domeinen is het goed dat beiden meer inzicht hebben in zo n domein. Door voor elk van die 22 domeinen een referentiekaart op te stellen met nadere informatie over dat domein (instrument/ model), verstrekken wij de OA en ITA dat inzicht. In het onderstaande figuur maken wij de leeswijzer visueel. Voorafgaand aan elk hoofdstuk laten wij zien in welk deelgebied van samenwerking de auditor zich bevindt en welke onderwerpen wij daar onder de loep hebben genomen. 2 organisatiebeheersing 3 Risicobeheersing 5 Beheersing IT 4 Procesbeheersing 6 Informatiebeveiliging 18

18 Overzicht van de domeinen Hierna is een overzicht opgenomen van de vijf gebieden en de 22 domeinen, die hierna in de hoofdstukken twee tot en met zes worden toegelicht. 2 Organisatiebeheersing Domein/instrument/hulpmiddel 2.1 Governance, Risk & Compliance (GRC) 2.2 COSO 2.3 Integrated auditing 2.4 Modellen (beheers-, management- en groeimodellen) 2.5 Soft controls 3 Risico- en projectbeheersing Domein/instrument/hulpmiddel 3.1 Risicomanagement 3.2 Control (risk) self assessment (CRSA) 3.3 Integriteitsaudits en fraudeonderzoeken 3.4 Afhankelijkheids- en kwetsbaarheidsanalyse 3.5 Projectbeheersing en PRINCE2 4 Procesbeheersing Domein/instrument/hulpmiddel 4.1 KAD-model (Kwaliteit Administratieve Dienstverlening) 4.2 Business Proces Analysis (BPA) 4.3 ISAE Beheersing informatievoorziening Domein/instrument/hulpmiddel 5.1 IT-Governance 5.2 CobiT 5.3 BiSL 5.4 ASL 5.5 ITIL 5.6 CMM-I 6 Beveiliging informatievoorziening Domein/instrument/hulpmiddel 6.1 Informatiebeveiliging 6.2 Privacy 6.3 Beheer en beveiliging bij outsourcing 19

19 Beschrijving domeinen/instrumenten/modellen door middel van referentiekaart Doel van de referentiekaart is het verstrekken van een eerste inzicht in het doel en de gebruiksmogelijkheden van een specifiek domein/instrument/model en tevens door te verwijzen naar nadere informatie voor de toepassing van het domein/instrument/model in de praktijk. De beschrijving van de behandelde domeinen/instrumenten/modellen heeft plaatsgevonden aan de hand van de rubrieken die hieronder in de referentiekaart zijn opgenomen en worden toegelicht. Naam domein/ instrument/model Auteurs(s), jaartal Doel domein/instrument/ model Object van onderzoek Korte omschrijving domein/instrument/ model Normatief of beschrijvend karakter Toepassingsmogelijkheden / gebruik in de praktijk Samenwerking OA-ITA Context: aspecten bij toepassing Beschikbaarheid van: Good practices Beschikbaarheid van: Instrumenten Toelichtingen Naam onderwerp domein, instrument, model, enz. Publicatie over het betreffende onderwerp. Wie zijn de oorspronkelijke auteurs? Wat is de oorspronkelijke publicatie? Met welk doel is het domein/instrument/model door de auteurs ontwikkeld? Wat kun je met het domein/instrument/model? Wat onderzoek je met het domein/instrument/model; wat is object van onderzoek? Wat is de achtergrond van het domein/instrument/model, op welke modellen/referenties is het model gebaseerd? Wat zijn de (expliciete of impliciete) uitgangspunten en veronderstellingen bij het domein/instrument/model? Wat is de opzet/ indeling van het domein/instrument/model? Bevat het domein/instrument/model een norm voor wat adequaat is (en wat dus door de auditor als norm zou kunnen worden gebruikt) of is het domein/instrument/ model vooral beschrijvend van aard? Toelichting van de inhoud van het domein/instrument/model: Wat kan de OA of ITA of wat kunnen beiden met het model in de praktijk; wat kan wel of niet met het model worden onderzocht? In welke situaties is het model bruikbaar? Wat is de betekenis van de bevindingen; op welke risico s is het model gericht? Hoe kunnen de OA en de ITA elkaar aanvullen bij het toepassen van het domein/instrument/model in het betreffende onderzoeksgebied? Wie kan fungeren als opdrachtgever. Op welke processen heeft het betrekking; primair/secundair? Wat is het belang van het onderzoeksgebied? Nuttige documenten mbt het betreffende domein/instrument/model (beschrijvingen, referentiekaders, artikelen) worden hier opgenomen. Verwijzingen of links naar: - direct bruikbare instrumenten, die ook vrij toegankelijk zijn - achtergrondinfo over het domein/instrument/model en toepassing daarvan. 20

20 2 Organisatiebeheersing Organisatiebeheersing is een containerbegrip en alles wat hier en hierna in deze rapportage aan de orde komt heeft wel een relatie met organisatiebeheersing. In de hedendaagse dynamiek wordt vanuit de maatschappij steeds meer geëist dat de organisatie in control is, zowel op korte, als ook op lange termijn. Dat betreft niet alleen de vragen op het gebied van compliance en beheersing, maar steeds meer zal de organisatie tijdig in moeten spelen op potentiële ontwikkelingen. De auditor kan de organisatie hierbij ondersteunen, bijvoorbeeld door haar een spiegel voor te houden vanuit zijn specifieke deskundigheid. Waar gaat het over? Bij organisatiebeheersing betreft het vooral vraagstukken van strategische en tactische aard. Als zodanig kan dit ook worden gezien als de kaders voor de onderwerpen die hierna aan de orde komen. Governance, Risk & Compliance (GRC) is een breed begrip dat enerzijds verwijst naar het in control zijn van de organisatie inclusief het voldoen aan de vigerende wet- en regelgeving, anderzijds omvat het de zorg dat de organisatie zich tijdig aanpast aan nieuwe ontwikkelingen. Een veel toegepast internationaal beheersmodel dat ondersteuning biedt bij het realiseren van die governance is COSO. Integrated auditing is een daarbij passende aanpak die beoogt dat de verschillende auditdisciplines nauw samenwerken bij het beoordelen van en adviseren over de beheersing en het in control zijn van een organisatie. Bij organisatiebeheersing en -ontwikkeling wordt steeds vaker gebruik gemaakt van beheers-, management- en groeimodellen (INK, BSC, enz.). De auditor kan bij de beoordeling ook gebruik maken van deze modellen. Soft controls zijn controls die betrekking hebben op zaken als cultuur, social controls en tone at the top. Deze soft controls zijn belangrijk voor de werking en de naleving. RK 2.2 COSO RK 2.1 GRC RK 2.4 Modellen beheers, management, groei RK 2.3 Integrated auditing RK 2.5 Soft Controls 21