2 de EDP-Auditor nummer

Transcriptie

1 2 de EDP-Auditor nummer

2 de EDP-Auditor nummer Van de redactie Na een wat moeilijker periode de afgelopen jaren lijkt de markt voor EDP-auditing op dit moment weer aan te trekken. Waar in de voorbije jaren her en der mensen afvloeiden wordt nu weer overal gezocht naar jong auditingbloed. Voor een dergelijke groeiende beroepsgroep is het uiteraard van belang regelmatig naar zichzelf en naar de rol van het beroep in de maatschappelijke ontwikkelingen te blijven kijken. In deze editie van de EDP-Auditor is daar alle ruimte voor. Zo schrijft Anton Tomas in zijn column op kritische wijze over de benodigde kennis en kunde van de EDP-auditor en de consequenties die dat heeft voor de beroepsopleidingen en het ledenacceptatiebeleid van de NOREA. Zelfs met een knipoog zijn de zaken die hij aanroert het overdenken waard. Peter Hartog en Ron de Korte gaan in op de punten waarop internal en EDP-auditors met elkaar kunnen en vaak zelfs moeten samenwerken om te komen tot audits die voor het management een meerwaarde op kunnen leveren. Bedrijfsproces en IT zijn immers vaak dusdanig met elkaar verbonden dat kennis op beide terreinen voor een goed oordeel noodzakelijk is. Onze NOREA-voorzitter Adri de Bruin geeft vervolgens een beeld van de externe auditor en de beroepsorganisatie in Het artikel is een bewerking van de door hem bij het afscheid van Margaret van Biene als hoogleraar EDP-auditing uitgesproken inleiding. Last but not least in de NOREA-rubriek een verslag van de visitatie van de EDP-auditingopleidingen die onlangs is afgerond en op basis waarvan de erkenning van alle opleidingen werd verlengd. Daarnaast is er aandacht voor meer specifieke onderwerpen zoals in de bijdragen van Ronald Robbers en Ernst Oud. Robbers gaat in op de keuze tussen complexiteitsbeheersing en complexiteitsreductie en laat zien hoe scenarioplanning ons bij deze keuze kan helpen. Ernst Oud draagt normenstelsels aan die kunnen helpen bij de beoordeling van Business Continuity plannen. En natuurlijk komen ook de gebruikelijke vaste rubrieken in dit nummer aan de orde. Zo beschrijft Ted Mos een dag uit zijn leven als eigenaar/directeur van een van de kleinere externe EDP-auditorganisaties in Nederland. In de boekbespreking ten slotte geven Evert van Donk en Wim van Dommelen hun mening over SmarTEST, een methode voor het testen van informatiesystemen.

3 4 de EDP-Auditor nummer Column Over de auditorsfuik en het nut van auditopleidingen Anton Tomas Is het eigenlijk niet vreemd dat we speciaal opgeleide auditors nodig hebben om de kwaliteit van een object te beoordelen? Een timmerman die zijn vak verstaat kan heel goed het werk van een collega beoordelen.voor andere vaklieden zoals metselaars geldt hetzelfde. Maar om het werk van IT-deskundigen te beoordelen zouden we speciaal opgeleide IT-auditors nodig hebben? Kom nou toch. Dat werk kan toch ook wel gedaan worden door goede IT-deskundigen zonder postdoctorale auditopleiding? Maar, zult u misschien vragen, is voor het uitvoeren van een audit dan niet een heel andere expertise nodig? Volgens mij is dat niet zo. Nou ja, ze moeten meestal nog even leren het allemaal goed op te schrijven. Wel worden volgens mij steeds meer zaken ontworpen en gebouwd door ondeskundigen of door mensen die weliswaar theoretische kennis bezitten maar nog zeer onervaren zijn. Die lieden beschikken natuurlijk niet over de expertise om een audit uit te kunnen voeren. Voor een audit heb je gewoon mensen nodig die hun vak verstaan; en dan bedoel ik niet het auditvak, maar het vak dat nodig is om het auditobject te ontwerpen en te bouwen. Bij IT-objecten gaat het trouwens meestal niet alleen om IT-deskundigheid, maar bijvoorbeeld ook om organisatiedeskundigheid en expertise op het terrein van de desbetreffende business. Mijn mening wordt bevestigd door de praktijk. Want in de praktijk zie je inderdaad dat audits steeds vaker worden uitgevoerd door personen die niet zijn opgeleid tot auditor. Dat gaat prima en misschien zelfs wel beter. Neem als voorbeeld het onderwerp informatiebeveiliging (toegegeven, het wordt een heel eenvoudig voorbeeld). Ik ken een organisatie waar personen die niet tot auditor zijn opgeleid regelmatig een audit uitvoeren op het gebied van informatiebeveiliging. Ze hebben weliswaar geen verstand van auditing maar wel van informatiebeveiliging. Zo gingen deze auditors bijvoorbeeld een keer gewapend met een videocamera het gebouw door om allerlei situaties vast te leggen waarin vertrouwelijke informatie voor het grijpen lag. Deuren en kasten stonden onbeheerd open, de ingangscontrole van het gebouw liet te wensen over, et cetera. Over de bevindingen werd een rapportje geschreven en een week later werden de meest sprekende videofragmenten aan de directie getoond. En reken maar dat dit resulteerde in een snelle verbetering. Een officiële auditor zou in dezelfde tijdsspanne waarschijnlijk nog bezig zijn met het afstemmen van de normen met de opdrachtgever (als hij al niet was blijven steken in de fase knowing the business ). Want volgens de regels van het auditvak zoals dat gedoceerd wordt aan onze universiteiten, dient men eerst met de opdrachtgever overeenstemming te verkrijgen over de normen alvorens men bevindingen gaat verzamelen. Ir. A.J. Tomas RE RI RO is elektrotechnisch ingenieur, informaticus en auditor. Hij werkt als account manager bij de Internal Audit Department van de Nederlandse Spoorwegen. Hij is betrokken bij de postdoctorale opleiding EDP-Auditing van de Erasmus Universiteit als extern lid van de examencommissie voor het afsluitende examen. Verder is hij lid van de redactie van de EDP-Auditor. Onze postdoctorale auditopleidingen worden bevolkt door mensen met relatief weinig werkervaring en dan soms ook nog met een vooropleiding in het verkeerde vakgebied. Dat gaat ze opbreken. Je zult maar opgeleid zijn tot informaticus of tot (al of niet bestuurlijk) informatiekundige, nooit in dat vak gewerkt hebben en, omdat je je eerste baan nu eenmaal bij een auditafdeling hebt gevonden, een postdoctorale opleiding IT-auditing volgen. Boekenkennis gestapeld op boekenkennis! En dan heb ik het nog niet

4 de EDP-Auditor nummer eens over nog maar net afgestudeerde accountants die een opleiding IT-auditing volgen. Een bijspijkercursus IT op een paar vrijdagen waarin het IT-fundament gelegd zou moeten worden voor een gedegen IT-auditopleiding? Zo n (postdoctorale!) opleiding kan natuurlijk nooit boven het propedeuseniveau van een IT-opleiding uitkomen. Cursisten zonder gedegen IT-vooropleiding en zonder ruime werkervaring in IT kunnen natuurlijk nooit uitgroeien tot de all-round IT-vakman of -vrouw die het werk van een collega IT-deskundige kan beoordelen; ook niet via een postdoctorale IT-auditopleiding. Overigens kan ik soortgelijke woorden schrijven over de postdoctorale opleidingen operational auditing, maar dan erger. Want wat is in vredesnaam het onderliggende vakgebied? Een operational auditor zou in staat zijn procesbeheersing te beoordelen ongeacht wat er in het proces omgaat. Een operational auditor is dus net zoiets als een manager die wel verstand heeft van managen maar niet van zijn business. Zulke managers bestaan. Een paar jaar geleden was dit zelfs mode, maar die tijd is inmiddels passé. Des te verbazingwekkender is het dat er toch af en toe heel goede IT-auditors van de opleiding komen met als enige IT-werkervaring die welke is opgebouwd tijdens de twee jaar waarin ze tevens de deeltijd-opleiding IT-auditing volgden. Ik denk dat dit iets zegt over deze mensen en niet over de auditopleiding. Toch blijft het jammer. Want hoeveel meer profijt zouden zij van hun vakopleiding gehad kunnen hebben als ze eerst een jaar of tien als ITdeskundige waren gaan werken. En na tien jaar werkzaam geweest te zijn als IT-deskundige zouden ze een auditopleiding nauwelijks nog nodig hebben om goede IT-audits te kunnen uitvoeren. Een vakman die zijn vak verstaat kan immers heel goed het werk van collega s beoordelen. Maar nu ze rechtstreeks na hun vakopleiding full-time aan het auditen zijn geslagen, zal het moeilijk worden de theoretische kennis uit de vakopleiding te verrijken met de ervaring die nodig is om uit te groeien tot de all-round ITvakman of -vrouw die diepgaande IT-audits kan uitvoeren. Erger nog, zonder dagelijkse IT-werkervaring zal het ze moeilijk vallen hun IT-vakkennis op peil te houden waardoor het ze onmogelijk wordt na enige tijd alsnog naar een IT-functie te kunnen ontsnappen, terwijl ze als auditor niet kunnen doorgroeien: de auditorsfuik. Laten we eens bezien welk soort IT-audits er grofweg bestaan en wat dat ons zegt over de auditopleidingen. In de eerste plaats zijn er audits die ten doel hebben na te gaan of men zich aan voorschriften houdt. Dit zijn audits op velerlei terreinen, maar omdat het auditobject zich soms afspeelt in een geautomatiseerde omgeving zijn er ook IT-auditors die dit soort audits uitvoeren. De voorschriften kunnen wettelijke voorschriften zijn maar ook zelfopgelegde standaarden en normen zoals de Code voor informatiebeveiliging. Deze audits gaan niet diep. In de kern gaat het om het afvinken van een rijtje regels waaraan moet zijn voldaan. Veelal worden dit soort audits periodiek herhaald. In de tweede plaats zijn er IT-audits die bedoeld zijn om vast te stellen of bepaalde doelstellingen van het management worden gehaald. Bijvoorbeeld bij de bouw van een informatiesysteem met een beschreven functionaliteit binnen een bepaalde tijdsduur en tegen overeengekomen kosten kan de IT-auditor zowel voor, tijdens als na de bouw worden gevraagd te onderzoeken hoe het zit met de haalbaarheid of de realisatie van een of meer van de doelstellingen van het management. Ook deze audits gaan niet zo diep. Het gaat hier in feite om het afvinken van een rijtje doelstellingen. Tenslotte zijn er de diepgaande IT-audits. Soms puur technisch diepgaand, soms organisatorisch diepgaand en meestal een combinatie van beide. Deze audits hebben als kenmerk dat de auditor diepgaand de werking van een bepaald technisch of organisatorisch systeem doorgrondt en analyseert en zich een mening vormt over de betrouwbaarheid van de functionaliteit ervan. Deze audits worden niet vaak en zeker niet periodiek uitgevoerd. De resultaten leiden tot afzonderlijke verbetertrajecten en staan soms ook ten dienste van de eerder beschreven twee categorieën afvink-audits. De twee eerstgenoemde categorieën audits rechtvaardigen geen universitaire auditopleiding. Het is zelfs heel goed denkbaar dat een groot deel van dit soort audits in de toekomst verregaand geautomatiseerd zal plaatsvinden. De meer diepgaande IT-audits zullen in de toekomst steeds meer worden uitgevoerd door IT-deskundigen die een gedegen IT-opleiding hebben genoten en die een ruime ervaring hebben in hun eigen vakgebied. Deze mensen zijn goed in staat het werk van vakgenoten te beoordelen. Wel is het zo dat de praktijk heeft aangetoond dat zij nog moeten leren het resultaat van hun audit op te schrijven. En als men het gaat opschrijven, zo weten wij ervaren auditors al lang, lijkt de audit pas echt goed te beginnen! Alleen mensen met een gedegen IT-opleiding en ten minste 10 jaar IT-werkervaring zouden moeten worden toegelaten tot de IT-auditopleidingen. Deze opleidingen hoeven niet meer te pretenderen dat ze IT-leken snel op een geschikt niveau van IT-kennis kunnen brengen. De opleidingen kunnen zich helemaal richten op vakken als auditmethodologie en de diverse wijzen van rapportage en overige managementondersteuning. De tijd die vrijkomt door het wegvallen van de IT-vakken kan worden gebruikt voor een cursus schrijfvaardigheid. Voor alle zekerheid moet het RE-register natuurlijk worden gesloten voor mensen jonger dan 35 jaar.

5 6 de EDP-Auditor nummer Scenariodenken De zekerheid van onzekerheid Ronald Robbers We leven nu eenmaal in een maatschappij waarin bijna alles met alles te maken heeft en waarbinnen in toenemende mate dat alles elkaar wederzijds beïnvloedt. Zekerheid moet als een schaars goed worden beschouwd. Immers, veel wederzijdse afhankelijkheden en beïnvloedingen zijn niet of nauwelijks direct te beïnvloeden. Hoe gaat de auditor te werk in werelden van grote complexiteit en dus per definitie relatief grote onzekerheid; blijven we zoeken naar gewenste zekerheid (complexiteitsbeheersing) of is het wellicht handiger om ons te richten op eliminatie van onzekerheid (complexiteitsreductie)? Inleiding Begrippen als complexiteitstoename en sneeuwbaleffect zijn aan de orde van de dag. De IT draagt daaraan bij als enabler voor bedrijfsoverstijgende integrale procesondersteuning door te zorgen voor een extra vervlechting van vele procesinrichtingen en -beheersingen. Daarnaast zijn de te beantwoorden auditvragen steeds breder en betreffen soms hele organisaties in één keer in plaats van een autonoom deelobject. De complexiteitstoename is vanuit beide invalshoeken procesvervlechtingen en bredere vraagstellingen goed merkbaar; de auditor krijgt steeds meer werk met het vaststellen of de gebruikte SOLL wel de gewenste zekerheid op kan leveren. Immers, hoe weet de auditor zeker of de voorgestelde set maatregelen nu en in de toekomst met al die wederzijdse afhankelijkheden wel toereikend is? Door verschillende scenario s naast elkaar te leggen kan het potentiële resultaat van een set maatregelen uitgedrukt in zekerheden en financiële impact worden geanalyseerd. Daarbij kan zekerheid worden gezien als een soort resource die als het ware ingepland moet wor- Ir. R.M.R.Robbers RE CISA CIA is werkzaam als accountmanager/clustercoördinator materieelprocessen bij de IAD van de Nederlandse Spoorwegen. Dit artikel is op persoonlijke titel geschreven. den. En volgens mij is onzekerheid dat in zekere zin ook. Deze bijdrage betreft een voorzet voor het scenariodenken als auditinstrument en doet dat vanuit de gedachte dat zowel het verkrijgen van zekerheid als het elimineren van onzekerheid daarbij als input kan dienen. Scenariodenken Zekerheden en onzekerheden kunnen in scenario s worden uitgezet om een toekomstbeeld te bepalen. De gewenste beheersing van het auditobject kan aan één of meerdere toekomstbeelden worden gerelateerd. Het betreft hier een analysemodel voor auditors en managers bij prospectieve vraagstukken naar de toereikendheid van beheersingsaspecten. Door de huidige en alternatieve vormen van de beheersing van het auditobject te relateren aan mogelijke toekomstbeelden ontstaat een analysemodel waarvan de uitkomsten kunnen worden gebruikt voor verbetervoorstellen in die beheersing. Om dat goed duidelijk te maken, eerst een toelichting bij het begrip complexiteit. Complexiteit IT-objecten ontlenen hun betekenis vaak verregaand aan de organisatorische en daarmee aan een continu veranderende context en hebben veel veranderlijke relaties tussen de vele verschillende objectelementen. Ontwikkelingen in en rond organisaties worden steeds meer getypeerd als van toenemende dynamiek en com-

6 de EDP-Auditor nummer plexiteit [PIJL00]. Hierover is vanuit diverse invalshoeken al veel geschreven. Drie voorbeelden: Al in 1992 wordt door het NGI [NGI92] onderkend dat binnen de risicoanalyse de diverse verbanden tussen de te onderzoeken objecten moeten worden meegenomen. Vanuit de invalshoek complexiteitsbeheer hebben Jan Truijens en Joop Winterink reeds in 1996 een artikel in de EDP-Auditor geschreven met de titel Complexiteitstoename van de (geautomatiseerde) informatieverzorging [TRUIJ96]. Hierin wordt onder meer door het actualiseren van de traditionele onderzoeksobjecten voor de IT-auditor enerzijds en het structureren van de relaties daartussen anderzijds een aangepast beheerskader gegeven. Zij verwachtten destijds al een vernieuwende taakopvatting en -uitoefening van de IT-auditor op onder meer het gebied van complexiteit. Met een andere invalshoek, nl. via de risicobeheersing, heeft Ted Mos in 1998 een artikel geschreven, eveneens in de EDP-Auditor, met de titel Het (accountants?) auditrisk voor IT-auditing beschouwd [MOS98]. De traditionele risicoformule voor IT-auditors wordt hier onder de loep genomen en er wordt een voorstel gedaan voor een herziene versie welke zich meer richt op beïnvloedbare items van de IT-audit dan tot dan toe gebruikelijk. Mos hanteert een meerdimensionaal model voor het IT-auditrisk. Immers zo stelt Mos het mag duidelijk zijn dat het beheersbaar maken van de risico s die de IT-auditor loopt tijdens zijn werkzaamheden, een samenspel is van veel componenten, met een eigen uitwerking en bereik. Wanneer is iets complex? De termen complex of simpel geven geregeld aanleiding tot discussie [EDP01]. Er bestaan vele definities welke voor een bepaalde invalshoek de mate van complexiteit aan een object koppelen door deze uit te drukken in een numerieke waarde. Dergelijke metrieken geven echter niet aan wát de complexiteit is, waar die zich bevindt of wat de oorzaak ervan is. Verder zijn dergelijke definities veelal beperkt tot een zeer specifieke verzameling van (typen van) onderzoeksobjecten terwijl de auditor met een breed scala aan onderzoeksobjecten te maken heeft. Wat is dan wel complexiteit? Zie het auditobject als een het dynamische geheel van min of meer autonome deelobjecten die voor de audit separaat beschouwd moeten worden, onderling relaties kunnen hebben, elkaar kunnen beïnvloeden, wel of niet beïnvloedbaar zijn met beheersmaatregelen, en waarbij de objecten en relaties veranderlijk kunnen zijn in zowel aantal als soort. Je zou het auditobject dan kunnen visualiseren door verschillende bolletjes (deelobjecten) met diverse soorten pijltjes ertussen (relaties). Een grafische weergave van het in kaart brengen van risico s en gevolgen die aansluit bij de hier gebruikte definitie van complexiteit waarbij objecten door relaties aan elkaar verbonden zijn is beschreven door Herrera in zijn artikel Graphical Risc Analysis [HERR02]. Vanuit deze gedachte kan complexiteit worden gezien als het verschil tussen het totale dynamische geheel van die deelobjecten en relaties enerzijds en het statische totaal van de losse deelobjecten anderzijds. Complexiteit is daarmee afhankelijk van de auditscope (die voor de audit separaat moeten worden beschouwd), is tijds- en contextafhankelijk (dynamische geheel veranderlijk in aantal en soort) waarbij er rekening moet worden gehouden met onderdelen die wel van invloed zijn op de gewenste beheersing maar waarop we geen invloed kunnen uitoefenen (wel of niet beïnvloedbaar zijn). Hierdoor heeft complexiteit meestal een bepaalde mate van onvoorspelbaarheid in zich. Twee denkwerelden Een dergelijk model van een dynamisch geheel aan deelobjecten en tussenliggende relaties ( bolletjes en pijltjes ) kan op verschillende manieren worden bekeken. Ik wil hier twee van dergelijke denkwerelden onderscheiden. De eerste denkwereld heet zekerheid is een resource en beschrijft de situatie waarin het gehele auditobject tot in detail kan worden beschreven en geanalyseerd en daarmee geheel voorspelbaar wordt. De tweede denkwereld heet onzekerheid is een resource waarin het auditobject als een verzameling autonome deelobjecten wordt gezien die relaties met elkaar aangaan. Beide denkwerelden worden hierna toegelicht. Zekerheid is een resource In de denkwereld zekerheid is een resource wordt het auditobject gezien als een groot geheel dat tot in de kleinste details kan worden beschreven en geanalyseerd. Daarbinnen kan door een juiste (risico)analyse het gedrag van dat object als geheel inzichtelijk en voorspelbaar worden gemaakt. Door de beheersmaatregelen op die analyse aan te sluiten is de gewenste beheersing en zekerheid voorspelbaar. Dit is de risicoanalytische aanpak. De beheersing wordt topdown in kaart gebracht omdat de aansturing centraal geschiedt. Ervaringen uit het verleden, toekomstverwachtingen en actuele feiten zijn de basis voor de beheersmaatregelen. De maatregelen zijn veelal gebaseerd op gewenste zekerheden en komen terug in de SOLL bij diverse audits.

7 8 de EDP-Auditor nummer In deze denkwereld moet voor elk risico een maatregel in werking treden die het object op een adequate wijze behoedt voor negatieve gevolgen. Ik noem dit een regelgeoriënteerde denkwereld; bij elk risico hoort een maatregel vaak in een als-dan afspraak vervat. Zekerheden worden in deze denkwereld vanuit een centrale aansturing beheerst doordat control op een voldoende hoog niveau is ingericht en de verantwoording ervan centraal is belegd. Risico s van verstoring van het systeem kunnen aldus rationeel worden benaderd en gemitigeerd door (aanvullende) centrale sturingsmogelijkheden; een bijna mechanistisch wereldbeeld waarbij alles via denkbeeldige radertjes in vaste patronen op voorspelbare wijze werkt. Waarom een tweede denkwereld? Ik ben van mening dat deze eerste denkwereld op zich niet meer past bij de huidige realiteit; deze bijdrage moet dat duidelijk maken. Dat is ook precies de reden waarom ik de tweede denkwereld heb geïntroduceerd. Een denkwereld waarbij onzekerheden een grotere rol spelen. Immers, uitgaande van het bijna mechanistisch wereldbeeld zekerheid is een resource kunnen auditors simpelweg redeneren dat een inventarisatie van afhankelijkheden en kwetsbaarheden (A&K-analyse) dé basis is voor de te treffen beheersmaatregelen. En dat is precies de valkuil waar ik het in deze bijdrage over wil hebben! Hoe bepaalt de auditor de (toereikende werking van de juiste) beheersingsmaatregelen als we met z n allen eigenlijk niet goed weten waarvan we afhankelijk zijn? Of, hoe gaat de A&K-analyse als de A niet bekend is? De tweede denkwereld gebruik ik om te onderstrepen dat niet de suggestie moet worden gewekt (door auditors, management, of wie dan ook) dat het afdekken van gevonden risico s op zich voldoende zekerheid zal brengen over beheersing in complexe situaties. Er moet ook rekening worden gehouden met mogelijk nog onbekende risico s. Onzekerheid is ook een resource Complexiteit gaat meestal gepaard met een bepaalde mate van onvoorspelbaarheid omdat een deel van de aansturing ongrijpbaar is. Kevin Kelly heeft hierover een boek geschreven: Out of control [KELLY94]. Een passage die wat mij betreft het verband tussen beheersing en complexiteit goed beschrijft, is te vinden op p. 603 in het hoofdstuk The Nine Laws of God. Ik citeer daaruit het volgende: When everything is connected to everything everything happens at once. When everything happens at once problems simply route around any central authority. Therefore, overall governance must arise from the most humble interdependent acts done locally in parallel, and not from a central command. To get something from nothing, control must rest at the bottom within simplicity. Met de locatie van het begrip simplicity (must rest at the bottom) geeft Kelly aan dat complexiteit ontstaat doordat alles met alles verbonden is of kan zijn. Hij beschrijft dat het auditobject een verzameling autonome deelobjecten is die relaties met elkaar aangaan. Door zorg te dragen voor juiste relaties en afspraken tussen die objecten is het gedrag van het object als geheel ineens beter voorspelbaar geworden. Door de beheersmaatregelen op die relaties en afspraken aan te sluiten is de gewenste beheersing en de ongewenste onzekerheid voorspelbaar. De risicoanalytische aanpak sluit denk ik nog onvoldoende aan bij deze gedachte. De beheersing is immers decentraal en kan niet meer alleen met een standaard topdown-methode in kaart worden gebracht omdat de aansturing niet centraal geschiedt. Het gehele auditobject is een soort flexibele structuur van wat ik eerder autonome deelobjecten noemde. Een belangrijke basis daartoe zijn de afspraken en relaties (vertrouwen) gericht op control in de toekomst. Die afspraken worden gemaakt aan de hand van ongewenste onzekerheden; zij zouden ook onderdeel moeten uitmaken van de SOLL binnen diverse audits. Dergelijke afspraken zijn wat mij betreft principe georiënteerd ( We spreken af dat verantwoordelijk is voor het niet laten voorkomen dat ) in tegenstelling tot de veelal regelgeoriënteerde afspraken uit de andere denkwereld ( Als dan moet de actie uitvoeren. ). Deze denkwereld die van de onzekerheid gaat uit van het basisprincipe dat de auditor niet goed weet waarvan de beheersing van het auditobject direct afhankelijk is. Vergelijk het met de mogelijke antwoorden op de vraag wat te doen tegen terrorisme. In deze denkwereld moet op elke ongewenste afwijking van de zekerheid de afspraken/relaties tussen de objecten onderling een voldoende (principiële) basis bieden tegen negatieve gevolgen. Regels alleen werken niet meer afdoende omdat deze niet inspelen op nog onbekende situaties. Algemenere principes voorkomen negatieve gevolgen van risico s. De Corporate Governance code s zijn net als deze denkwereld ook grotendeels principegeoriënteerd; ze zijn gebaseerd op door meerdere partijen gedragen opvattingen en uitgangspunten. (De code Tabaksblat bevat twintig van dergelijke principes.)

8 de EDP-Auditor nummer Schijnbare onzekerheden die vanuit een centrale aansturing niet kunnen worden beheerst, zijn nu ineens meer grijpbaar geworden door control op een voldoende laag niveau in te richten en de verantwoording en mogelijk zelfs de monitoring ervan decentraal te beleggen. Resources moet je managen Zelf ben ik van mening dat we door de complexiteitstoename van auditobjecten ons steeds meer moeten beseffen dat we niet kunnen volstaan met het zoeken naar zekerheid, maar ook gebruik moeten maken van het proactief elimineren van onzekerheid. Dus, een combinatie van de twee geschetste denkwerelden. (Hoe dat er in de praktijk uit zou kunnen zien, moet blijken uit het voorbeeld verderop.) Ik heb in dit kader al eens geschreven dat complexiteitsanalyse een welkome aanvulling kan zijn op de klassieke risicoanalyse (zie [ROBB02]). Alvorens in te gaan op hoe dat zou kunnen, een verfijning zonder verdere toelichting van beide denkwerelden in tabel 1 (zie p. 8). Van onzekerheid naar scenariodenken Een risico is de impact van een onzekere gebeurtenis op de gewenste doelstellingen die de auditor met de audit wenst te onderzoeken. Risico s worden gemeten in termen van impact en de kans van optreden [GLEIM01] en voor een betere voorspelbaarheid in de tijd hoort daar wat mij betreft ook de verwachte doorlooptijd van optreden bij. Immers, het optreden van een risico is vaak niet een moment, maar het risico manifesteert zich een bepaalde tijd. Als gevolg daarvan is een gewenste zekerheid uit te drukken in termen van maximale negatieve consequentie van een gegeven set van risico s. Dat kan bijvoorbeeld aan de hand van afhankelijkheden en kwetsbaarheden vanuit de risicoanalyse. De SOLL gericht op het adequaat beheersen van risico s bestaat uit te treffen maatregelen. Dergelijke maatregelen (controls) zijn een door iets of iemand ondernomen actie om gewenste doelstellingen te bereiken [GLEIM01]. Die acties hebben een bepaald effect op het object van onderzoek. Dat effect is gericht op het verkleinen van de negatieve consequenties vanuit de risico s. Maar omdat de wederzijdse beïnvloeding ook uit te drukken is in acties en kansen van optreden bestaat daarmee een uniforme basis voor zowel risico s, zekerheden, maatregelen én wederzijdse beïnvloedingen. Immers, zij zijn alle uit te drukken in acties (oorzaken en gevolg), kansen van optreden en (financiële) impact. Dit alles zou er in de praktijk uit kunnen zien als in het voorbeeld in het kader. Voorbeeld De organisatie CoPie verzorgt de back-up en recovery van data van twee verschillende netwerkservers binnen uw bedrijf. CoPie heeft daartoe binnen uw organisatie een aparte dataserver staan waarop de back-ups geautomatiseerd worden aangemaakt. Service en beheer is geregeld via een SLA. Een IT-auditor met kennis van complexiteitsanalyses krijgt van u de opdracht om de betrouwbaarheid en continuïteit van het back-upproces te onderzoeken. De auditor voert samen met u een risicoanalyse uit en rapporteert daarna in termen van afhankelijkheden en kwetsbaarheden. Ook stelt de auditor een aantal extra maatregelen voor: M1 t/m M6. U vraagt natuurlijk ook aan de auditor of daarmee de gewenste zekerheid daadwerkelijk wordt bereikt. De auditor stelt u een aantal aanvullende vragen om vast te stellen wat u onder de gewenste zekerheid verstaat. Uit dat gesprek volgt ook dat gevolgen G1 t/m G3 nooit mogen optreden (het elimineren van ongewenste onzekerheden). De auditor rapporteert op basis van analyses aan u het volgende: Gegeven de huidige situatie bij CoPie alsmede de scope van het onderzoek kan ik u het volgende mededelen: met een zekerheid van 98% is de maximale financiële impact in het back-upproces op jaarbasis Voor het restrisico van 2% geldt het totaal van de ingeschatte impacts, te weten per jaar. Daarmee is de te verwachten financiële impact (= 98% * % * ). De implementatie van de SOLL vermindert het risico derhalve van ruim tot onder de Tevens zullen de door de auditor aangegeven en gespecificeerde schadelijke gevolgen G1 t/m G3 niet op kunnen treden bij het invoeren van de geadviseerde maatregelen (98%). In de bijlage staat de onderbouwing van deze uitspraak. U kunt nu als opdrachtgever zelf relatief eenvoudig bepalen of dit totaalrisico voldoet aan uw gewenste (on)zekerheid. Maar u weet inmiddels dat maatregel M4 waarschijnlijk niet past bij uw organisatiecultuur. U geeft aan die maatregel niet uit te kunnen voeren en vraagt daarom aan de auditor om aan te geven wat er in dat geval met de zekerheid en de impact gebeurt. De auditor past daarop zijn analyse aan met de nieuwe gegevens en rapporteert u vervolgens respectievelijk 71% en Daarmee neemt op basis van dezelfde rekenwijze de te verwachten financiële impact toe tot

9 10 de EDP-Auditor nummer Tabel 1. Twee denkwerelden Zekerheid is een resource Onzekerheid is een resource Het auditobject wordt gezien als een groot geheel dat tot in de kleinste details kan worden beschreven en geanalyseerd. Door een juiste analyse is het gedrag van dat object als geheel voorspelbaar. Door de beheersmaatregelen op die analyse aan te sluiten is de gewenste beheersing en zekerheid voorspelbaar. bestaat uit autonome deelobjecten die relaties met elkaar aangaan. Door het zorgdragen voor juiste relaties en afspraken tussen die objecten is het gedrag van het auditobject voorspelbaar. Door de beheersmaatregelen op die relaties en afspraken aan te sluiten, is de gewenste beheersing en de ongewenste onzekerheid voorspelbaar. De beheersing is topdown. Control is centraal belegd op een voldoende hoog niveau. De monitoring is gekoppeld aan de centrale aansturing en de beheersing. bottom-up (zelfordening). Control is decentraal belegd op een voldoende laag niveau. De monitoring is gekoppeld aan de lokale aansturing (per deelobject). Maatregelen voor de beheersing zijn gebaseerd op de identificatie van en het verzamelen van informatie over gewenste zekerheden. Maatregelen krijgen hun beslag in algemeen geldende procedures, afspraken en regelgeving. zijn gebaseerd op de identificatie van het verzamelen van informatie over ongewenste onzekerheden bijvoorbeeld met een scenarioanalyse. Maatregelen resulteren in flexibele afspraken en relaties tussen deelobjecten. Er wordt primair gezocht naar complexiteitsreductie door vermindering objecten, relaties, veranderingen, beïnvloedingen et cetera. complexiteitsbeheersing door goede afspraken en relaties tussen (deel)objecten. Het gevoel en verstand op lokaal niveau wordt vanuit de centrale gedachte dat alles controleerbaar, voorspelbaar en analyseerbaarheid is verdrongen.... is door het maken van goede afspraken en relaties juist aanwezig. De lokale creativiteit blijft daardoor behouden. Verder blijft door het autonome van de objecten de flexibiliteit van het geheel ook behouden. Primair gericht op het domein van invloed ; zekerheid wordt bereikt door die dingen te doen die je (centraal) kunt regelen. Aanpassingen worden als gevolg van contextwijzigingen reactief doorgevoerd. domein van betrokkenheid en acceptatie ; onzekerheid wordt geëlimineerd door afspraken te maken tussen deelobjecten onderling. Aanpassingen worden als gevolg van te verwachten contextwijzigingen proactief voorbereid. Control in de toekomst wordt gevormd door beheersmaatregelen gebaseerd op ervaringen uit het verleden, toekomstverwachtingen en feiten uit het heden. gebaseerd op toekomstverwachtingen en de flexibele structuur van de autonome objectdelen met daartussen afspraken en een basis van vertrouwen (relaties). Denkwereld is regelgeoriënteerd. principegeoriënteerd (net als bijvoorbeeld de Corporate Governance code s). Complexiteit is inzichtelijk te maken vanuit de aanname dat alle deelobjecten... samen als één geheel tot in alle details te analyseren zijn. Een vastlegging van de objectbeheersing (bijvoorbeeld met een algehele AO/IC-beschrijving) is een noodzakelijkheid voor het gewenste inzicht. los te analyseren zijn en dat het geheel te analyseren is door de afspraken tussen de verschillende deelobjecten daarbij te betrekken en in scenario s uit te zetten. De deelobjecten zijn vervolgens aanvullend te analyseren op de klassieke manier.

10 de EDP-Auditor nummer per jaar. De maatregel is blijkbaar van cruciaal belang op het geheel. Omdat u maatregel M4 echt onhaalbaar acht, weet u nu dat u op zoek moet gaan naar één of meerdere compenserende maatregelen (omdat de toegevoegde waarde van die maatregel = vertegenwoordigt, dat is ruim 42% van het totaal van de ingeschatte impacts zijnde per jaar). Immers, bij het niet implementeren van M4 accepteert u mogelijk te veel ongewenste onzekerheid. Maar omdat u ook graag wilt weten wat er met al deze zekerheden gebeurt in een aantal andere scenario s, maakt de auditor samen met u een meer uitgebreide analyse. De volgende waarschijnlijk geachte scenario s worden voor verdere analyse gekozen: 1. standaard, conform onderzoek tot nu toe; 2. als 1, maar met de aanname dat risico R1 niet optreedt (= een aanpassing van het risicoprofiel); 3. als 1, maar waarbij de auditor de twee netwerkservers vervangt door één groter exemplaar (= een aanpassing van het auditobject). Samen met de auditor bepaalt u alle gegevens voor een uitgebreide analyse waarbij: 1. per scenario en per maatregel de bijdrage in de zekerheid wordt bepaald (net zoals hiervoor met M4 de bijdrage op 42% is bepaald); 2. per (on)zekerheid een inschatting wordt gemaakt van de kans op falen (net zoals hiervoor voor G1 t/m G3 de kans op falen op 2% is bepaald); 3. per risico een inschatting van de kans op optreden wordt bepaald en de daarbij verwachte (financiële) impact per scenario wordt berekend. Uit die analyse blijkt dat maatregel M4 in alle scenario s een bijdrage in de zekerheid heeft van rond de 40%. De auditor adviseert u derhalve die maatregel toch te implementeren of te zorgen voor een goed alternatief. Dit voorbeeld laat zien dat de auditor afhankelijk van mogelijke scenario s kan werken met verschillende zekerheden en onzekerheden (een scenario op zich is al een onzekerheid). De gegevens uit de analyse zal de auditor gebruiken ter onderbouwing van de geleverde gewenste zekerheid bij de audit. Immers, uit de onzekerheden in scenario s vloeien de (beheers)opties voor het in control brengen en houden van het auditobject. De opgebouwde kennis kan bij elk volgend onderzoek verder worden uitgebouwd en worden aangepast aan de actuele situatie en gewenste scenario s. Of, in het algemeen, door de huidige en alternatieve vormen van de beheersing van het auditobject te relateren aan mogelijke toekomstbeelden ontstaat een analysemodel waarvan de uitkomsten kunnen worden gebruikt voor verbetervoorstellen in die beheersing. Zoals dit voorbeeld aangeeft is er een evaluatiefunctie nodig welke aangeeft wanneer een beheersing beter fit bij de gewenste doelstellingen. Die evaluatiefunctie is in het voorbeeld beperkt tot de gemoeide kosten en een soort kansverdeling daarbij. Om de analyse zinvol te maken, zal uiteindelijk iemand op basis van de resultaten een besluit moeten kunnen nemen. Er zijn ook andere voorbeelden van evaluatiefuncties die mogelijk kunnen worden gebruikt. Immers, waarom alleen maar de impact bepalen aan de hand van de financiële gevolgen? Heylighen [HEYL04] doet op p. 63 van Complexiteit en Evolutie in een vergelijkbare omgeving, namelijk die van een groter aantal samenhangende componenten, een voorzet voor een evaluatiefunctie op basis van de statistische entropie; dat is een maat voor de aanwezige onzekerheid gebaseerd op de kansverdelingen van de toestanden waarin dat geheel zich kan bevinden. Het minimaliseren van die statistische entropie is een voorbeeld van een andere evaluatiefunctie. Er is hier nog niet beschreven hoe vanuit beide geschetste denkwerelden de complexiteit daadwerkelijk moet worden bepaald. Met de laatste regel in tabel 1 hoop ik echter duidelijk te hebben gemaakt dat de gegevens daarvoor wel voorhanden zijn. Het is aan de auditor om deze tot in alle details uit te schrijven of om af te gaan op goed onderbouwde aannames en schattingen. Verder bestaat de exercitie uit het uitwerken van de mogelijke scenario s, het kiezen en toepassen van de evaluatiefuncties en het analyseren van de resultaten. Simulaties van scenario s kunnen daarbij ook helpen; de scenarioanalyse als tool voor de auditor. De analyseresultaten daarvan zijn mogelijk de basis voor andere beheerskeuzes. Zie bijvoorbeeld maatregel M4 uit het voorbeeld die uiteindelijk in alle onderzochte scenario s van groot belang blijkt te zijn. Slotwoord We denken veel in gewenste zekerheden en nog relatief weinig in ongewenste onzekerheden; echter de wereld om ons heen bevat steeds meer onzekere factoren. Onzekerheid is een zekere factor geworden waarmee rekening moet worden gehouden. Er zitten echter grenzen

11 12 de EDP-Auditor nummer aan het voorspellen van zekerheid als alleen rekening wordt gehouden met bekende risico s. In meer complexe situaties zullen ook ongewenste onzekerheden een rol gaan spelen bij het in control houden van die situatie. Door verschillende scenario s naast elkaar te leggen, kan het potentiële resultaat van een set maatregelen nu en in de toekomst nader worden geanalyseerd. Om te bepalen welk (deel van een) scenario beter fit dan een andere is een evaluatiefunctie nodig; daarvan zijn er verschillende bekend waarvan de financiële impact de meest bekende is. De voorspelbaarheid van de beheersing van complexe veranderlijke situaties wordt door het verkregen inzicht groter. Ik meen dan ook te kunnen zeggen dat een scenarioanalyse extra inzicht kan verschaffen in situaties waarin we te weinig zicht hebben op de afhankelijkheden. De term complexiteitsanalyse heb ik gebruikt voor situaties waarbij analysetechnieken tevens de impact van risico s op die scenario s meer inzichtelijk maken. Het voorbeeld op p. 7 demonstreert dat. Resumerend, complexe situaties vertroebelen het zicht op afhankelijkheden en kwetsbaarheden. Scenarioanalyses werken verhelderend voor de vertroebelde afhankelijkheden en complexiteitsanalyses doen hetzelfde voor de vertroebelde kwetsbaarheden. Het totaal van dat alles kan de auditor helpen meer zekerheid te verkrijgen of de voorgestelde set maatregelen (SOLL) nu en in de toekomst toereikend is. De auditor moet dus blijven zoeken naar gewenste zekerheden, maar doet er goed aan ook expliciet aandacht te schenken aan de eliminatie van onzekerheden. Door het analyseren of zelfs simuleren van scenario s kan hieraan een invulling worden gegeven. Momenteel ben ik bezig met de ontwikkeling van een toolkit voor genoemde complexiteitsanalyses. Deze is gebaseerd op simulaties van verschillende scenario s en risicoprofielen. Dergelijke simulaties sluiten aan bij de mogelijkheden die zijn geschetst in het voorbeeld. Door het uitvoeren van die simulaties kan blijken of de gemaakte afspraken (zie tabel 1) een juiste uitwerking kunnen hebben. Of die toolkit er uiteindelijk ooit komt is onzeker. Literatuur [EDP01] Handboek EDP auditing (2001), op CD-ROM, Kluwer. [GLEIM01] Gleim, I.N. (2001), CIA Review, part I, 10de editie, Internal Audit Proces (de gebruikte definities van risico en maatregel zijn vrij vertaald hieruit overgenomen). [HERR02] Herrera R. en A. Omar (2002), Graphical Risk Analysis (GRA): A Methodology To Aid In Modeling Systems For Information Security Risk Analysis, Deloitte & Touche, Mexico. [HEYL04] Heylighen, F. (2004), Complexiteit en Evolutie, cursusnota s , centrum Leo Apostel, Vrije Universiteit Brussel, vrij beschikbaar op [KELLY94] Kelly, K. (1994), Out of Control, The new biology of machine, Fourth Estate, Londen, UK. [MOS98] Mos, T. (1998), Het (accountants?) audit-risk voor IT-auditing beschouwd, in: de EDP-auditor, nr. 3, pp [PIJL00] Pijl, G.J. van der (2000), IT-auditing in a changing world, Inaugurele rede, in: de EDP-auditor, nr. 4, pp [ROBB02] Robbers, R.M.R. (2002), Complexiteitsanalyse, een aanvulling op de risicoanalyse voor de IT-auditor, referaat postdoc. EDP-auditing aan de EUR. [TRUIJ96] Truijens, J. en J. Winterink (1996), Complexiteitstoename van de (geautomatiseerde) informatieverzorging, in: de EDP-auditor, nr. 3, pp [VIR94] Voorschrift Informatiebeveiliging Rijksdienst (1994). [VIR98] NGI (Nederlands Genootschap voor Informatica), Afdeling Beveiliging (1998), onder redactie van J. Bautz en C. Schonfeld, Vier jaar VIR, vloek of zegen?, Ten Hagen Stam.

12 de EDP-Auditor nummer Uitvoering van en normenstelsels voor een audit op een business continuity plan Ernst J. Oud De complexiteit van bedrijfsprocessen en bovenal de afhankelijkheid van de ondersteunende productiemiddelen zoals ICT is dermate groot dat vooraf nadenken over de te nemen acties ten tijde van crisis absoluut te prefereren is boven te moeten improviseren als het moment daar is. In dit artikel wordt aangegeven welke stappen moeten worden doorlopen om een continuïteitsplan en de ondersteunende voorzieningen in te richten om daaruit de voor een auditor relevante auditobjecten af te leiden. Ernst J. Oud, senior manager bij Deloitte Enterprise Risk Services, adviseert organisaties met vraagstukken op het gebied van business continuity. Eind dit jaar verschijnt bij Academic Service van zijn hand de Praktijkgids Business Continuity Management. Ernst is lid van de NEN normcommissie en van het Centraal College van Deskundigen Informatiebeveiliging. Beide spelen een belangrijke rol bij de Code voor Informatiebeveiliging in Nederland. Daarnaast is hij docent bij NEN en kerndocent van de module Continuïteit van de informatievoorziening in de masters opleiding informatiebeveiliging van de TIAS Business School. Inleiding In de nacht van zaterdag op zondag 13 februari 2005 werd in het centrum van Madrid door brand het 32-verdiepingen hoge Windsor kantoorgebouw verwoest. In tegenstelling tot berichten in de media dat het gebouw leegstond, werd bij de brand het hoofdkantoor van Deloitte in Spanje, gehuisvest op de onderste twintig verdiepingen van het gebouw, totaal vernietigd. Meer dan tweeduizend medewerkers verloren daarbij hun werkplek, communicatiemiddelen, dossiers en informatiesystemen. Een aantal brandweerlieden raakte bij de brand gewond. De brand was de grootste in de geschiedenis van de Spaanse hoofdstad. Direct na de brand werd door Deloitte het continuïteitsplan geactiveerd en kwam het crisisteam in actie. Enkele uren na de brand communiceerde het crisisteam de voortgang van de operatie aan de pers en vooral de voortzetting van de activiteiten aan haar klanten. Kort voor de brand was een back-up gemaakt waardoor alle informatie nog voorhanden was. Op maandagmorgen 14 februari kon een groot aantal medewerkers elders of thuis weer aan de slag. In Madrid heerste maandagochtend 14 februari chaos; het Windsor gebouw staat boven Madrids grootste metrostation. Vanwege de brand was dit metrostation afgesloten met een verkeerschaos als gevolg. Het bovenstaande recente voorbeeld maakt duidelijk hoe snel een organisatie haar normale bedrijfsvoering kan verliezen en hoe belangrijk juist handelen op dat moment is. De complexiteit van bedrijfsprocessen en bovenal de afhankelijkheid van de ondersteunende productiemiddelen zoals ICT is dermate groot dat vooraf nadenken over de te nemen acties ten tijde van crisis absoluut te prefereren is boven te moeten improviseren als het moment daar is. Hoe groot die afhankelijkheid is werd geschetst in de recente ICT-barometer van Ernst&Young, waarin maar liefst driekwart van de ondervraagden aangeeft dat hun organisatie in sterke mate afhankelijk is van ICT en een kwart zelfs volledig afhankelijk is hiervan. Daar waar ICT voor een aantal organisaties nog ondersteunend is, is de afhankelijkheid van productiemiddelen zoals machines in fabrieken waarschijnlijk nog groter. Het vooraf plannen van de continuïteit van de organisatie ten tijde van een calamiteit wordt continuïteitsplanning genoemd. Om het bedrijfsbrede en integrale karakter te onderstrepen, wordt de laatste jaren van business

13 14 de EDP-Auditor nummer continuity planning of business continuity management (BCM) gesproken. In PAS56, de Guide to Business Continuity Management van het British Standards Institute wordt het begrip BCM gedefinieerd als een holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience and the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities. Als deel van BCM wordt het plannen van continuïteit beschouwd. Business Continuity Planning (BCP) omvat het vooraf plannen en voorbereiden in een aantal stappen. De stappen bestaan uit het identificeren van potentieel verlies, het formuleren en implementeren van continuïteitstrategieën en het ontwikkelen van een continuïteitsplan welke de voortzetting ten tijde van een calamiteit garandeert binnen van te voren vastgelegde uitgangspunten. BCP levert een continuïteitsplan bestaande uit een gedocumenteerde set procedures en informatie voor het handelen ten tijde van de calamiteit. Om het continuïteitsplan uit te voeren ten tijde van de calamiteit zal naast het plan ook een groot aantal voorzieningen aanwezig moeten zijn zoals reserve ICT-faciliteiten, productiemiddelen en gebouwen. In dit artikel wordt aangegeven welke stappen moeten worden doorlopen om een continuïteitsplan en de ondersteunende voorzieningen in te richten om daaruit de voor een auditor relevante auditobjecten af te leiden. Uiteraard kan een auditor ook gevraagd worden een oordeel te vormen over het proces waarin een continuïteitsplan tot stand komt. Gevolgen van recente regelgeving voor de beoordeling van continuïteit De IT-auditor zal steeds vaker een oordeel moeten vormen over de continuïteit van de geautomatiseerde gegevensverwerking. Immers, de Code Tabaksblat noemt expliciet zij het niet dwingend dat het verslag van de externe accountant met betrekking tot de werking van de interne risicobeheersings- en controlesystemen in zou kunnen gaan op verbeterpunten, geconstateerde leemten en opmerkingen over bedreigingen en risico s voor de vennootschap, inclusief de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. In sectie 404 van de Sarbanes-Oxley Act wordt de externe accountant opgedragen bij de jaarrekeningcontrole een oordeel uit te spreken over de door de bestuurders uitgevoerde beoordeling van de effectiviteit van de interne beheersing en procedures voor financiële rapportage. Duidelijk mag zijn dat een organisatie zonder continuïteitsvoorziening, welke getroffen wordt door een ernstige calamiteit, niet in staat zal zijn op een effectieve wijze interne beheersing uit te voeren over haar bedrijfsprocessen, dus ook niet over de financiële processen. Financiële chaos is dan veelal het resultaat, vaak leidend tot faillissement. De finale versie van de PCAOB auditing standard 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements geeft invulling aan de in SOx gestelde eisen ten behoeve van de auditor. In appendix C staat een niet mis te verstane uitspraak: management s plans that could potentially affect financial reporting in future periods are not controls. For example, a company s business continuity or contingency planning has no effect on the company s current abilities to initiate, authorize, record, process, or report financial data. Therefore, a company s business continuity or contingency planning is not part of internal control over financial reporting. Duidelijke taal; omdat business continuity planning gaat over het zeker stellen van de continuïteit in de toekomst, hoeft de externe auditor hierover geen oordeel te geven over de afgelopen periode. De PCAOB auditing standard beschrijft echter ook dat.. controls over financial reporting may be preventive controls that have the objective of preventing errors from occurring in the first place that could result in a misstatement of the financial statements. In deze context is de inrichting van een continuïteitsvoorziening een preventieve maatregel om te zorgen dat bij een calamiteit de beheersing van de financiële processen op orde blijft. Dat die beheersing ook bij een calamiteit cruciaal is, wordt in sectie 409 van SOx onderkend. Daarin wordt verplicht dat de onderneming materiële veranderingen in de financiële situatie of in de bedrijfsvoering snel en tijdig aan het publiek meldt. Wordt een onderneming getroffen door een calamiteit welke de ICT treft, dan zal het niet eenvoudig zijn om tijdig de volgens sectie 409 verplichte informatie te verstrekken. Of in SOx-oordelen daadwerkelijk continuïteitsplanning een belangrijk aandachtspunt wordt, staat in het vakgebied dus nog ter discussie [ZA2005] [SM2005]. Belangrijker is dat voor IT-governance in het algemeen het belang van (ICT-) continuïteitsplanning niet ter discussie staat. Voor een groot deel nog best-practice, maar ITgovernance begint langzamerhand genormeerd te raken.