Een optimaal model van de inrichting. van een interne audit functie, gegeven het onderscheid tussen. IT en operational auditing

Transcriptie

1 Een optimaal model van de inrichting van een interne audit functie, gegeven het onderscheid tussen IT en operational auditing Afstudeerscriptie voor de Post-graduate IT Audit opleiding, aan de Vrije Universiteit te Amsterdam Opstellers: T. Tjeerdsma en M. Blokker Scriptienummer: 804 Scriptiebegeleider: Jan van Praat RE RA Bedrijfsbegeleider: Ing Yan Ong RE Datum:

2 Inhoudsopgave MANAGEMENT SAMENVATTING AUDITING IN HET ALGEMEEN INLEIDING SOORTEN AUDITS UITVOERING VAN DE AUDIT DE AUDITOR TOT SLOT IT AUDITING INLEIDING SOORTEN IT AUDITS UITVOERING VAN DE IT AUDIT DE IT AUDITOR TOT SLOT OPERATIONAL AUDITING INLEIDING SOORTEN OPERATIONAL AUDITS UITVOERING VAN DE OPERATIONAL AUDIT DE OPERATIONAL AUDITOR TOT SLOT HET VERSCHIL EN DE OVEREENKOMSTEN TUSSEN IT EN OPERATIONAL AUDITING INLEIDING OBJECTEN VAN ONDERZOEK ASPECTEN NORMEN AUDIT FASES DE AUDITOR TOT SLOT RESULTATEN PRAKTIJKONDERZOEK INLEIDING VRAGENLIJST INTERVIEWS RESULTATEN PRAKTIJKONDERZOEK TOT SLOT CONCLUSIES EN AANBEVELINGEN INLEIDING CONCLUSIES AANBEVELING EVALUATIE LITERATUURLIJST BIJLAGEN A VRAGENLIJST B UITGEBREIDE RESULTATEN PRAKTIJKONDERZOEK

3 Management samenvatting Deze scriptie geeft antwoord op de vraag wat het optimale model is van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid in uitvoering van IT en operational audits. Om deze vraag te beantwoorden hebben wij twee subvragen geformuleerd. Deze luidden: 1. Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en overeenkomsten bestaan er hier tussen? ; 2. Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie?. Voor de beantwoording van de eerste subvraag hebben wij een literatuuronderzoek uitgevoerd naar de aspecten die een rol spelen bij de uitvoering van een audit. Hieruit kwamen de volgende algemene aspecten naar voren: de objecten, de normen, de kwaliteitsaspecten en de door de beroepsorganisaties gestelde eisen aan auditors. Bestudering van deze algemene aspecten leerde ons dat deze zowel verschillen als overeenkomsten vertonen bij IT auditing en operational auditing. De overeenkomsten zijn echter aanzienlijk groter dan de verschillen. De overeenkomsten hadden betrekking op de objecten van onderzoek, de aspecten verbonden aan deze objecten, de audit fases en een groot aantal van de eisen aan de auditors. De verschillen betroffen de algemene normenkaders, de benaming en invulling van een tweetal eisen vanuit de beroepsorganisaties en de optiek van waaruit het object van onderzoek wordt benaderd. Hoewel zowel IT als operational auditing naar de beheersing binnen de organisatie kijken, benaderd IT auditing dit namelijk vanuit het oogpunt van de informatiesystemen en operational auditing vanuit het oogpunt van de organisatie in het algemeen. De tweede subvraag hebben wij beantwoord aan de hand van een praktijkonderzoek. Op basis van de resultaten op de eerste subvraag hebben wij een vragenlijst opgesteld. Deze hebben wij afgenomen bij een organisatie met én bij een organisatie zonder scheiding tussen IT en operational auditing functies. Hieruit kwam naar voren dat met name het verschil in de optiek van waar uit de audit objecten worden getoetst invloed heeft op de inrichting van de interne audit functie, meer in het bijzonder op het maken van een onderscheid tussen IT en operational auditors. Daarnaast bleek het niet uit te maken hoe de IT en operational auditors binnen een organisatie zijn ingedeeld, namelijk in één team opererend of niet. Voor onze hoofdvraag betekenen deze uitkomsten dat gegeven het onderscheid tussen IT en operational auditing een separate positionering van IT en operational auditors niet noodzakelijk is. Vanuit de behoefte aan een totaal benadering van risicobeheersing vullen de twee typen auditors elkaar juist goed aan met hun verschillende benaderingswijze van de onderzoeksobjecten. Een expliciete uitspraak over een optimaal model van inrichting van audit functies hebben wij niet kunnen doen aangezien factoren als type en de omvang van de organisatie een mogelijke rol bleken te spelen. 2

4 1 Inleiding en onderzoeksvraag Interne audit organisaties kunnen op verschillende manieren zijn georganiseerd. Zij kunnen verschillen in het soort audits die ze willen (laten) uitvoeren, in de wijze waarop zij de verschillende disciplines binnen hun eigen organisatie hebben gestructureerd, en zij kunnen verschillen in de eisen die ze dientengevolge aan hen auditors stellen. Zo zijn er organisaties die van hun interne auditors verwachten dat ze zowel financial, IT als operational audits uitvoeren. Maar er zijn ook audit organisaties die voor ieder audit discipline specialisten in huis hebben, die zij in meer of mindere mate met elkaar laten samenwerken. Uit onderzoek van Paape (Paape, 2005) is ook gebleken dat de omvang van een interne audit organisatie verschilt per type bedrijfsvoering en per grote van de organisatie. Zo hebben grotere bedrijven meer auditors in dienst, hebben Telecom, IT en Media bedrijven gemiddeld 7 fte voor audit beschikbaar, Openbare diensten 29 fte en Financiële dienstverleners 66 fte. De centrale audit afdeling van ABN AMRO Bank bestaat wereldwijd uit circa 900 fte. Binnen de centrale audit afdeling van ABN AMRO Bank ( Group Audit ) is er organisatorisch een onderscheid gemaakt tussen IT en operational audit, en binnen de centrale IT audit afdeling tussen technical en system audit teams. Zowel de operational als de system auditors zijn ingedeeld in teams die de organisatiestructuur van ABN AMRO volgen. De technical auditors daarentegen vormen één algemeen team dat zich richt op de centrale IT organisatie en de algemene ondersteunende IT systemen. De operational auditors voeren audits uit naar de beheersing van de organisatieprocessen binnen de aan hen toegewezen bedrijfsonderdelen en de system auditors naar de beheersing van de door deze bedrijfsonderdelen gebruikte systemen. De technical auditors voeren onderzoeken uit naar de beheersing van de beheerprocessen binnen de IT organisatie, de infrastructurele IT systemen en de General IT Controls. Dit organisatorische onderscheid leidt ertoe dat het optimaal afstemmen van de auditdekking, namelijk het zodanig plannen en afbakenen van de audits, waarbij de te controleren omgeving zo effectief en efficiënt mogelijk wordt afgedekt en de auditee zo min mogelijk wordt belast, een lastig proces is. Immers, de audit objecten van de groepen operational, technical en system auditors zijn niet los van elkaar te zien en lopen vaak zelfs geruisloos in elkaar over. Om een goed oordeel over de kwaliteit van de beheersing van de organisatieprocessen te kunnen geven moeten de operational auditors ook kijken naar aspecten die een sterke IT component hebben, zoals de toegangbeveiliging. De system auditors kunnen op hun beurt de beheersingsmaatregelen die in de systemen zijn ingebracht, de zogenaamde applicatieve beheersingsmaatregelen, niet los zien van de organisatieprocessen die zij ondersteunen. Bovendien zullen de system auditors ook aandacht moeten besteden aan aspecten als de aansluiting van de applicaties op de infrastructurele systemen en de General IT Controls voor deze systemen. Aspecten waar ook de technical auditors een oordeel over geven. Aangezien ABN AMRO waarschijnlijk niet de enige organisatie is die met de hierboven geschetste knelpunten te maken heeft, willen wij met deze scriptie inzicht geven in aspecten die bijdragen aan een optimale inrichting van een interne audit functie gegeven het onderscheid tussen IT en operational auditing. In deze richtlijn zullen wij in ieder geval aandacht besteden aan aspecten die nodig zijn om het operationele proces van auditing uit te voeren, zoals de afbakening van de objecten, het bepalen van de normen en de eisen die gesteld worden aan de auditors. Deze scriptie zal derhalve de vorm hebben van een onderzoek binnen diverse interne audit organisaties, om op basis hiervan randvoorwaarden voor succes af te leiden. Hoewel er meer soorten audits zijn zoals financial, compliance, forensic, IT en operational auditing zullen wij ons alleen op de laatste twee richten. Naar aanleiding van bovenstaande situatie zijn wij tot de volgende onderzoeksvraag gekomen: Wat is het optimale model van inrichting van audit functies binnen een interne audit organisatie, gegeven het onderscheid tussen IT en operational auditing? De subvragen die wij bij het beantwoorden van de hoofdvraag behandelen, zijn: 1. Welke aspecten spelen een rol bij de uitvoering van IT en operational audits en welke verschillen en overeenkomsten bestaan er hier tussen? ; 2. Hoe wordt omgegaan met de verschillen en overeenkomsten in de aspecten die een rol spelen bij de uitvoering van IT en operational audits bij de inrichting van de interne audit functie?. 3

5 Binnen onze scriptie vormt de eerste subvraag de kern van ons onderzoek. Om deze eerste subvraag te beantwoorden zijn wij door middel van een literatuurstudie dieper ingegaan op de uitvoering van audits in het algemeen en die van IT en operational auditing in het bijzonder. Wij hebben ons daarbij gericht op de diverse soorten audits die onderscheiden kunnen worden, de algemene aspecten die een rol spelen bij de daadwerkelijk uitvoering van een audit en op de uitvoerder van de audit, de auditor. Deze onderdelen hebben wij behandeld in Hoofdstuk 2 (Auditing in het algemeen), Hoofdstuk 3 (IT auditing) en Hoofdstuk 4 (Operational auditing). Aan de hand van een vergelijking van de uitkomsten in deze drie hoofdstukken, hebben wij vervolgens de verschillen en overeenkomsten tussen aspecten die een rol spelen bij de uitvoering van IT en operational audits in beeld gebracht (Hoofdstuk 5). Voor de beantwoording van de tweede subvraag hebben wij een praktijkonderzoek uitgevoerd. Hiervoor hebben wij een vragenlijst opgesteld, welke mede is gebaseerd op verschillen en overeenkomsten tussen IT en operational auditing zoals opgenomen in Hoofdstuk 5. Deze vragenlijst hebben wij afgenomen bij twee interne audit organisaties, namelijk één met en één zonder gescheiden IT en operational audit functies. De opzet en de resultaten van het onderzoek zijn uitgewerkt in Hoofdstuk 6. Aan de hand van de resultaten van de literatuurstudie en de uitkomsten van het praktijkonderzoek, hebben wij tenslotte geprobeerd tot een antwoord te komen op de hoofdvraag. Namelijk wat het optimale model van inrichting van de interne audit functie is, gegeven het onderscheid in uitvoering van IT en operational audits. Dit antwoord wordt uitgewerkt in Hoofdstuk 7 (Conclusies en aanbevelingen). 4

6 2 Auditing in het algemeen 2.1 Inleiding In dit hoofdstuk zullen wij ten behoeve van de beantwoording van de eerste subvraag dieper ingaan op de aspecten die een rol spelen bij de uitvoering van audits in het algemeen en op de eisen die worden gesteld aan de auditors. Voordat we daartoe overgaan, zullen we echter eerst aandacht besteden aan de diverse soorten audits die onderscheiden kunnen worden. Bij het lezen van personeelsadvertenties valt namelijk op dat de term auditing voor verschillende soorten onderzoeken wordt gebruikt. Voor een kwaliteitsmeting (een kwaliteitsaudit), een milieukundig onderzoek (een milieu audit), een jaarrekening controle (financial audit) of een onderzoek naar het niveau van informatiebeveiliging (IT audit). Hoewel de onderzoeksobjecten verschillen, hebben al deze benamingen als gemeenschappelijk kenmerk dat ze gericht zijn op de uitvoering van een onderzoek welke als doel heeft het geven van een oordeel over dat object. Dit blijkt ook uit de omschrijving van De Korte (2004) van het vakgebied auditing: Een onderzoek naar de overeenkomsten tussen de waargenomen werkelijkheid en de vooraf gedefinieerde norm met als doel het geven van een oordeel aan de opdrachtgever. Door het uitvoeren van een audit, kan de onzekerheid gereduceerd worden over de beheersing (van de organisatie) van het onderzoeksobject. 2.2 Soorten audits Financial, IT en operational audits De behoefte aan auditing is ontstaan vanuit de behoefte van organisaties en het maatschappelijk verkeer aan onafhankelijke controle. Binnen de diverse audit vormen is die van financial auditing, ofwel accountancy, de oudste. Naast de controle van de jaarcijfers, kijkt zij tevens naar de wijze waarop de administratieve processen de betrouwbaarheid van die jaarcijfers kunnen garanderen. Vanuit financial auditing zijn de andere vormen van auditing ontstaan. Zo komt IT, of EDP, auditing voort uit het toenemende gebruik van geautomatiseerde systemen binnen de administratie en de algemene bedrijfsprocessen. Omdat het voor de accountant steeds belangrijker werd dat hij ook kon vertrouwen op de betrouwbaarheid en integriteit van de systemen, ontstond de behoefte aan controle van de systemen. Operational auditing kent haar oorsprong meer vanuit de bedrijfskunde en richt zich met name op de doorlichting van de interne organisatie van een onderneming en de algemene procesbeheersing. Vanuit de behoefte aan het in control zijn, biedt operational auditing het management ondersteuning bij de beheersing van de bedrijfsprocessen Product- en procesaudits Bij een productaudit is een product, resultaat of uitkomst van een proces het object van onderzoek en bij een procesaudit een proces gericht op de totstandkoming van een product (Kocks, 2003). Productaudits worden ook wel resultaataudits genoemd en procesaudits ook wel systeem- of organisatieaudits. Hartog en Van der Kerk (1999) beschrijven het onderscheid tussen deze twee soorten audits door te zeggen dat in een systeemaudit wordt gekeken naar de maatregelen die de kwaliteit van de uitkomsten moeten waarborgen en in een resultaataudit naar de kwaliteit van de uitkomsten zelf. Een voorbeeld van een productaudit is dan een (operational) audit van een milieuverslag of een (IT) audit van een applicatie en een voorbeeld van een procesaudit een (operational en IT) audit naar het stelsel van beheersingsmaatregelen binnen een organisatie. Dat het echter moeilijk is een duidelijk onderscheid te maken tussen een product- en procesaudit, geeft Kocks (2003) naar onze mening terecht aan door te zeggen dat de blauwdruk van een proces in feite ook een product is en er derhalve ook bij een procesaudit sprake is van een productaudit. Ondanks deze in elkaar overlopende definities van een proces- en productaudits, zullen wij in het vervolg van deze scriptie toch het onderscheid tussen deze twee soorten audits terug laten komen, en wel conform de in de vorige paragraaf gegeven typeringen. 5

7 2.2.3 Interne en externe audits Binnen auditing valt nog een ander onderscheid te maken, namelijk tussen interne en externe audits waarbij interne audits door de organisatie zelf worden uitgevoerd en externe audits door een externe partij. Vroeger waren externe audits met name gericht op het uitvoeren van financial audits en interne audits op IT en operational audits. Dit kwam voort vanuit de behoefte van organisaties om de interne processen dusdanig te beheersen en te controleren, dat op het moment dat de externe controle plaatsvond geen noemenswaardige afwijkingen aan het licht zouden komen. Momenteel richten zowel interne als externe audits zich op financial, IT en operational audits. Een ander veel gehanteerde term is internal auditing. Hoewel ze qua benaming sterk op elkaar lijken, zijn interne en internal auditing echter niet exact hetzelfde. Daar waar internal auditing vaak in één adem wordt genoemd met operational auditing, vallen zoals we hierboven al zagen onder interne auditing ook financial en IT audits. Dat internal auditing meer neigt naar operational auditing, komt ook tot uiting in de definitie van internal auditing van de Institute of Internal Auditors: Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Om verwarring te voorkomen zullen wij in deze scriptie daarom het begrip internal auditing niet hanteren, maar spreken over interne en operational auditing. Aangezien deze scriptie zich specifiek richt op IT en operational audit functies binnen interne audit organisaties, zullen wij ons in het vervolg van deze scriptie nog alleen op deze twee audit vormen richten en financial auditing verder buiten beschouwing laten. 2.3 Uitvoering van de audit Objecten van onderzoek Met een audit wordt een oordeel gegeven over het object van onderzoek, bijvoorbeeld een IT systeem bij een IT audit of een bedrijfsproces bij een operational audit. Van het object kan achtereenvolgens worden gekeken naar de opzet, het bestaan en de werking. Met de toetsing van de opzet wordt een oordeel gegeven over de aard van het object. Met andere woorden, over alle kenmerken die maken dat het object is zoals het is. Zodra de opzet is vastgesteld, kan worden getoetst of de feitelijke situatie op dat moment ook in overeenstemming is met die opzet. Dit betreft de toetsing van het bestaan van het object. Indien er wordt gekeken naar het functioneren van het object over een langere periode, betreft het de toetsing van de werking van dat object Aspecten Bij het toetsen van de opzet, het bestaan en de werking van een object spelen de aspecten (de kwaliteitsaspecten) en de normen van waaruit wordt getoetst een belangrijke rol. Aangezien dit universele facetten van een onderzoek zijn, geldt dit bij alle soorten audits. Echter, de aard van de kwaliteitsaspecten waarover een oordeel wordt uitgesproken en de normen waaraan wordt getoetst, kunnen natuurlijk wel per object en daarmee per type audit verschillen. Daarnaast is het van belang de kwaliteitsaspecten duidelijk te definiëren en te verklaren. Kwaliteitsaspecten kunnen uiteen vallen in subaspecten. Als er sprake is van subaspecten zal bepaald moeten worden hoe de subaspecten onderling samenhangen en bijdragen tot het gekozen kwaliteitsaspect. De kwaliteitsaspecten kunnen in bepaalde gevallen in verband worden gebracht met het verschil tussen product en proces audits. Bepaalde kwaliteitsaspecten kunnen namelijk wel gelden voor een proces maar niet voor een product, en vice versa Normen Om een audit te kunnen uitvoeren zijn normen noodzakelijk. Normen zijn nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Normen kunnen worden ontleend aan zowel interne als externe bronnen. Interne bronnen zijn bijvoorbeeld de binnen de organisatie geldende regels en procedures. Externe bronnen kunnen de binnen een vakgebied geaccepteerde wetten en regels zijn en de in afgesloten contracten opgenomen bepalingen (VU, 2006). Echter, normen kunnen zowel objectief als subjectief 6

8 zijn. Objectieve normen zijn gebaseerd op algemeen aanvaarde en geldende theorieën. Subjectieve normen worden bepaald door een persoon of een groep en zijn derhalve niet geheel vrij van persoonlijke beïnvloeding. De normen die tijdens een audit worden gebruikt dienen altijd objectief te zijn. Vervolgens kan er binnen de (objectieve) normen onderscheidt gemaakt worden tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de uitvoering van een audit. Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld (Van Praat en Suerink, 2004). Hierbij kan worden gedacht aan wettelijke normen, richtlijnen en aanbevelingen. Behalve de voorgaande normen kan er ook onderscheid gemaakt worden tussen productnormen en procesnormen. Productnormen zijn de criteria waaraan een product moet voldoen. Procesnormen worden op het niveau gehanteerd van het proces waar een individueel product wordt gerealiseerd Audit fases Iedere type audit, of het nu bijvoorbeeld een IT of een operational audit is, kent een aantal fases. Er zijn verschillende modellen waarin deze fases worden uitgewerkt. Een overzichtelijk model is het zes stappenmodel van Driessen en Molenkamp (2004), dat er als volgt uit ziet: Planning Veldwerk Evaluatie Vooronderzoek Rapportage Follow-up Figuur 1: Zes stappenmodel van Driessen en Molenkamp Binnen dit model kunnen de zes stappen volgens hen niet los van elkaar worden gezien. Ze lopen in elkaar over en terugkoppelingen zijn altijd mogelijk als gevolg van bepaalde bevindingen. Alleen ten aanzien van veldwerk en rapportage moet volgens Driessen en Molenkamp voorzichtigheid worden betracht ten aanzien van het hanteren van een dergelijk iteratief proces. Hieronder volgt een beschrijving van de zes stappen zoals zij die definiëren: De planningsfase begint volgens hen met het audit jaarplan. Daarin moet in ieder geval worden aangegeven wat de objecten van onderzoek zullen zijn, wie de auditee is, wat de audit doelstellingen zullen zijn, wanneer de audits moet worden uitgevoerd en welke audit capaciteit zal moeten worden aangewend. Op basis van dit jaarplan wordt vervolgens voor iedere afzonderlijke audit een gedetailleerde audit plan opgesteld, waarin voor die audit wordt uitgewerkt hoe de auditors de audit zullen uitvoeren. Dit audit plan is gebaseerd op het jaarplan, de uitkomsten van desk research en de reeds aanwezige kennis en ervaring met het object van onderzoek. In de vooronderzoekfase verzamelen de auditors informatie over het geldende beleid van de organisatie, de aan het object te stellen eisen en de kaderstellingen zoals regelgeving en systemen. Het gaat hierbij dus om zowel algemene, organisatie gerichte informatie (bijv. organisatieschema en de centrale regels) als om object specifieke informatie (bijv. functie-, product- en systeembeschrijvingen, rapportages, procedures en contracten). Uit de verzamelde gegevens moeten bovendien die maatstaven en maatregelen worden geselecteerd die iets zeggen over de te verwachten kwaliteit van beheersing van het onderzoeksobject, en die de normen vormen voor het management. Normen die de auditor kan gebruiken voor zijn oordeelsvorming. Met behulp van deze verzamelde informatie kan de auditor ook zelf een referentiemodel opstellen, waarin hij de gewenste beheersingssituatie van het onderzoeksobject schetst. Dit model moet wel met het management worden afgestemd voordat het veldwerk begint. Een ander onderdeel van de vooronderzoekfase betreft volgens Driessen en Molenkamp de aankondiging van de audit. Hiermee worden de proceseigenaar, het betrokken management en de medewerkers op de hoogte gesteld van de inhoud en de doorlooptijd van de geplande audit. Voor deze fase moet voldoende tijd worden vrijgemaakt, aangezien de resultaten hiervan (namelijk inzicht in doelstellingen en uitgangspunten en een normenkader) noodzakelijk zijn om de volgende fase, het veldwerk, te kunnen starten. 7

9 De veldwerkfase bestaat volgens hen uit alle activiteiten gericht op het verzamelen van gegevens. Gegevens die de auditor nodig heeft om bevindingen te kunnen formuleren (een beschrijving van de aangetroffen situatie ten opzichte van de norm) en conclusies en aanbevelingen ter verbetering te kunnen doen. Onderzoeksmiddelen die kunnen worden gebruikt zijn het inwinnen van inlichtingen, het opvragen van bewijsstukken en andere vastleggingen en het doen van eigen waarnemingen. In de rapportagefase wordt eerst een conceptversie van het audit rapport opgesteld. Deze bevat de bevindingen, de conclusies en de aanbevelingen uit de veldwerkfase. Vervolgens wordt het conceptrapport besproken met de auditees, de proceseigenaar en de opdrachtgever. Tijdens deze bespreking wordt vastgesteld of de bevindingen van de auditors correct en volledig zijn en of de aanbevelingen worden gedragen door het management. Na deze bespreking wordt het definitieve audit rapport opgesteld. Dit rapport zal ook een oordeel bevatten over de aangetroffen kwaliteit van beheersing, welke vaak een optelsom is van oordelen over de afzonderlijke bevindingen, en een actieplan voor het management. Tijdens de evaluatiefase wordt de uitgevoerde audit geëvalueerd door de audit afdeling. Bij deze evaluatie gaat het om het proces van de uitgevoerde audit en de feitelijke inhoud van de audit. De input hiervoor kan zowel door de auditors als door de auditees en de proceseigenaar worden geleverd. Het doel van een dergelijke evaluatie is het bevorderen van de kwaliteit van de audit afdeling zelf. Met de follow-up wordt tenslotte nagegaan of het actieplan ook daadwerkelijk is uitgevoerd door het verantwoordelijk management. Deze follow-up kan de vorm hebben van een toetsing per actiepunt of een followup audit waarin meerdere actiepunten worden getoetst. 2.4 De auditor Beroepsorganisaties De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de auditors opereren. Voor IT auditors is de Nederlandse Orde van Register EDP-Auditors (NOREA) de betrokken beroepsorganisatie. Voor operational auditors is het de Vereniging van Register Operational auditors (VRO) en voor internal (operational) auditors de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL). De Nederlandse sectie van de IIA bestaat sinds 1997 en is de beroepsvereniging voor Internal auditors. Voorwaarden voor lidmaatschap zijn het werkzaam zijn als Internal auditor, ingeschreven zijn in een van de audit registers van VRO, NIVRA, NOREA, NOvAA en IIA en minimaal drie jaar werkervaring hebben in Internal audit. Lidmaatschap van de IIA NL geeft geen recht op een specifieke titel. Als haar hoofdtaken ziet de IIA NL: 1. Het behartigen van de belangen van de leden. Zij wil de kwaliteit van de beroepsuitoefening bevorderen en bewaken, zorgen voor promotie van het beroep en het vakgebied, informatie verschaffen en de Internal auditor op de hoogte houden van de nieuwste ontwikkelingen; 2. Zorgen voor kwaliteitsbewaking. Hiertoe ontwikkelt zij standaarden voor beroepsuitoefening en deskundigheidseisen, verricht zij onderzoek en publiceert zij onderzoeksrapporten en biedt zij vaktechnische ondersteuning ten aanzien van kwaliteitszorg en praktijkvraagstukken; 3. Bevorderen van (permanente) educatie. De IIA NL brengt adviezen uit op het gebied van opleidingen, het verzorgt de aansluiting van de Nederlandse beroepsopleidingen op de Amerikaanse opleiding ter voorbereiding op het examen voor het behalen van de wereldwijd erkende titel 'Certified Internal Auditor' (CIA); 4. Het delen van kennis. Dit doet zij onder andere via het tijdschrift Audit Magazine, de website en het vakblad The Internal Auditor en het organiseren van seminars en trainingen; 5. Profileren van het vak. Het IIA NL wil een positieve beeldvorming over het vak realiseren en bewaken en ziet interne eenduidigheid en consensus als belangrijke factoren voor succes. 8

10 In maart 2007 hebben de VRO en de IIA een integratieovereenkomst gesloten, wat tot vergaande samenwerking moet leiden. Daarom zullen wij de eisen welke gesteld worden door de IIA aan de auditor behandelen in het hoofdstuk over operational auditing (Hoofdstuk 4) Eisen aan de auditor Vanuit de oordelende rol die auditors vervullen, kunnen een aantal algemene eisen worden onderscheiden die aan de auditor worden gesteld. Eisen vanuit de beroepsorganisaties zijn onder andere deskundigheid, objectiviteit, onafhankelijkheid en onpartijdigheid. Deze eisen zullen we uitgebreid behandelen in de hoofdstukken over IT audit en operational audit (respectievelijk Hoofdstuk 3 en 4). 2.5 Tot slot In deze scriptie kijken wij welke aspecten die een rol spelen bij de uitvoering van IT en operational audits van invloed zijn op de inrichting van audit functies binnen een interne audit afdeling. In dit hoofdstuk hebben wij ons gericht op auditing in het algemeen teneinde een antwoord te kunnen geven op het eerste gedeelte van de eerste subvraag, namelijk: Welke aspecten spelen een rol bij de uitvoering van een audit?. Daarbij hebben wij ons gericht op de verschillende soorten audits die onderscheiden kunnen worden, de algemene aspecten die een rol spelen bij de daadwerkelijke uitvoering van een audit en de eisen die worden gesteld aan de uitvoerders van de audits, de auditors. Wij hebben gezien dat er verschillende soorten audits kunnen worden onderscheiden, namelijk interne en externe audits, product en proces audits en financial, IT en operational audit. Aspecten die een rol spelen bij de uitvoering van audits bleken te zijn de objecten, de kwaliteitsaspecten, de normen en de audit fases. Bij de behandeling van het onderdeel auditors zijn wij met name ingegaan op de verschillende beroepsorganisaties voor IT, operational en internal auditors. Aangezien wij ons in deze scriptie richten op de uitvoering van interne IT en operational audits, zullen wij in de volgende twee hoofdstukken dieper ingaan op die aspecten waarvan wij, op basis van datgene wat wij in dit hoofdstuk hebben behandeld, verwachten dat IT en operational auditing de meeste verschillen vertonen. Namelijk de soorten audits, de objecten, de kwaliteitsaspecten, de normen en de auditors. Omdat het bij de audit fases niet uitmaakt of het een IT of een operational audit betreft, zullen wij dit aspect niet behandelen in de komende twee hoofdstukken. In Hoofdstuk 5 zullen wij vervolgens de verschillen en de overeenkomsten tussen IT en operational auditing wat betreft deze elementen vaststellen. 9

11 3 IT auditing 3.1 Inleiding Zoals eerder aangegeven is het vakgebied van IT auditing ontstaan vanuit de behoefte om meer zekerheid te verkrijgen over het gebruik van geautomatiseerde systemen binnen de administratieve organisatie en de automatiseringsorganisatie zelf. Binnen het vakgebied is er nog geen eenduidigheid over de inhoud ervan. Dit blijkt ook uit de verschillende definities voor IT auditing die in gebruik zijn. Van Biene-Hershey (1996) definieert IT auditing als volgt: An independent and impartial assessment leading to a clear opinion about information systems, cybernetic systems, technical systems as they are used by the enterprise; as well as all parts of the organisation with any relationship to those systems; in particular those parts of the organisation responsible for developing, maintaining, introducing and operating automated systems, as well as the management of the infrastructures relied upon by the enterprise. En This definition emphasises the scope of the objects of the assessment process because the character of the objects of the audit are the reason why it is referred to as IT Auditing and not some other type of audit. Volgens de NOREA (2003) is IT audit: de discipline die zich bezig houdt met het beoordelen van en adviseren over de kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatietechnologie ten behoeve van de beheersing daarvan. Van Praat en Suerink (2004) spreken over EDP auditing, waarvoor zij de volgende definitie geven: Het vakgebied dat zich bezighoudt met de beoordeling en advisering bij objecten van de informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering. Het doel hiervan is kwalitatief en/of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever gerealiseerd worden. Bij deze drie verschillende definities vallen een aantal zaken op: 1- Het doel van de audit wordt in uiteenlopende mate gespecificeerd. Waar Van Biene-Hershey alleen spreekt over het verkrijgen van een duidelijke mening over de systemen, gaat het voor de NOREA om de beheersing van de kwaliteit van de informatieverwerking. Van Praat en Suerink gaan nog een stap verder door te zeggen dat het gaat om het leveren van een kwalitatieve en/of kwantitatieve bijdrage aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever worden gerealiseerd; 2- De soorten van werkzaamheden die onder IT auditing vallen, verschillen. Volgens zowel de NOREA als Van Praat en Suerink gaat het bij IT auditing om het beoordelen en het adviseren. Dit in tegenstelling tot Van Biene-Hershey, die alleen spreekt over het doen van een onafhankelijke en zelfstandige beoordeling; 3- Hoewel globaal hetzelfde, zijn de onderzoeksobjecten in de drie definities niet helemaal gelijk. Van Biene-Hershey is het meest expliciet door als onderzoeksobjecten de verschillende soorten systemen het benoemen (namelijk informatie systemen, cybernetische systemen en technische systemen), maar ook de onderdelen van de organisatie die in relatie staan tot die systemen. Dit in tegenstelling tot de NOREA en Van Praat en Suerink, die beiden in min of meer gelijke termen spreken over het onderzoeksobject. Bij de NOREA gaat het namelijk om de kwaliteit van de informatieverwerking in een omgeving waarin sprake is van informatietechnologie. En bij Van Praat en Suerink om objecten van de informatievoorziening in een omgeving waar gebruik wordt gemaakt van de automatisering. Vanwege de wijze waarop zij het object van onderzoek omschrijven, een belangrijk onderdeel van onze scriptie, zullen wij in het vervolg uitgaan van de definitie zoals Van Praat en Suerink die hanteren. In de volgende paragrafen zullen wij, conform de opzet in het hoofdstuk Auditing in het algemeen, dieper ingaan op de soorten IT audits, de aspecten die een rol spelen bij de uitvoering van IT audits en de IT auditor. 10

12 3.2 Soorten IT audits Van Biene-Hershey (1996) voegde bij haar definitie van IT auditing toe dat juist het object van onderzoek datgene is dat IT auditing onderscheid van andere disciplines. In samenhang met de verschillende soorten systemen, onderscheidt zij drie soorten IT audits: technical, (information) system en cybernetic auditing. Dit onderscheid heeft zij gebaseerd op de verschillende soorten systemen en de daarvoor benodigde expertise. Onder technische systemen vallen volgens haar de besturingssystemen, database management systemen en telecommunicatie software. Informatiesystemen zijn de computer programma s die als voornaamste doel hebben om data te produceren voor menselijk gebruik en cybernetische systemen zijn alle geautomatiseerde systemen die zijn gebouwd om machines te besturen zoals robots en satellieten. Voor iedere soort systeem onderscheid Van Biene-Hershey ook een specialistische auditor, dat wil zeggen een technical, een system en een cybernetic auditor. Een vierde soort auditor die zij hier aan toevoegt betreft de computer centre auditor. Daar waar de andere drie auditors naar de ontwikkeling van de systemen kijken, richt de computer centre auditor zich volgens haar op de uitvoering van de dagelijkse werkzaamheden in het computer centrum. De system auditors kijken bovendien niet alleen naar de informatie systemen, maar ook naar de gebruikersorganisatie. Een andere indeling van soorten IT audits, is die welke uitgaat van specialismen binnen IT audits. Wat deze specialismen van elkaar onderscheiden, zijn echter vooral de objecten van onderzoek. Te denken valt daarbij aan bijvoorbeeld audits gericht op IT projecten, forensische IT audits, General IT Controls audits en beveiliging- en privacy audits. Wanneer we de hierboven genoemde soorten IT audits vertalen naar proces- en productaudits, een indeling waarvan we in het vorige hoofdstuk hebben gezien dat die ook kan worden gehanteerd bij soorten audits, dan zien we de volgende verdeling: Procesaudits: de audits naar de uitvoering van werkzaamheden in het computer centrum, naar de gebruikersorganisatie en de General IT Controls audits; Productaudits: de audits naar de technische systemen, de informatie systemen (de applicaties) en de cybernetische systemen. Sommigen van de hierboven genoemde soorten audits kunnen echter niet specifiek als een proces- of als een productaudit worden getypeerd. Afhankelijk van de verdere uitwerking van het onderzoek kunnen zij namelijk in beide categorieën worden ingedeeld. Voorbeelden hiervan zijn de beveiliging- en privacy audits en de project audits. 3.3 Uitvoering van de IT audit Objecten van onderzoek Van Praat en Suerink (2004) verdelen objecten van onderzoek van IT audits over de volgende vier hoofdcategorieën: 1. Organisatie van de informatievoorziening; 2. Informatiesystemen en systeemontwikkeling; 3. Technische infrastructuur; 4. Informatiebeveiliging. Daarbij vallen onder organisatie van de informatievoorziening bijvoorbeeld de strategiebepaling voor de organisatie, de inrichting van de bedrijfsprocessen, projectrealisatie en wet- en regelgeving. Zijn objecten binnen informatiesystemen de computerprogramma s, de organisatie en structuur van de systeemontwikkeling en de processen binnen systeemontwikkeling. Vallen onder technische infrastructuur de organisatie van het beheer van de technische infrastructuur, de processen met betrekking tot het beheer van de technische infrastructuur, de besturingssystemen, databases en datacommunicatie. Objecten binnen informatiebeveiliging zijn de externe en de logische toegangsbeveiliging, de fysieke beveiliging en de organisatie met betrekking tot de toegangsbeveiliging. 11

13 Ook deze vier categorieën van objecten kunnen we verdelen over proces- en productaudits: Processen Organisatie van de informatie voorziening Strategie van de organisatie; Inrichting van de bedrijfsprocessen; Wet- en regelgeving Informatiesystemen en systeemontwikkeling Organisatie en structuur van systeem ontwikkeling; Processen binnen systeem ontwikkeling Technische infrastructuur Organisatie en beheer van technische infrastructuur; Processen m.b.t. beheer technische infrastructuur Producten Projectrealisatie Computerprogramma s Besturingssystemen; Databases; Datacommunicatie systemen Figuur 2: De onderverdeling van IT audit objecten Informatiebeveiliging Organisatie m.b.t. toegangsbeveiliging Externe en logische toegangsbeveiliging, fysieke beveiliging Bij procesaudits kan de opzet, bestaan en werking worden vastgesteld, bij productaudits de opzet en bestaan. Producten functioneren in een omgeving of een proces. Het proces waarborgt dat een product (bv. een informatiesysteem) goed werkt. Voor de opzet zal de aanwezige documentatie worden geraadpleegd en eventueel aanvullende gesprekken worden gevoerd. Hiermee kan men meer inzicht krijgen in de manier waarop het object is ingericht en kan de auditor hier een oordeel over geven. Vanuit de opdracht voor een audit worden veelal normen meegegeven die het uitgangspunt vormen voor het uitvoeren van de audit. Deze normen zijn vaak generiek van karakter en dienen nader geconcretiseerd te worden. Als er inderdaad sprake is van een als voldoende beoordeelde opzet, kan de auditor deze opzet als norm gebruiken om vast te stellen of het ook inderdaad als zodanig in de organisatie is ingevoerd. Hiermee toetst hij het bestaan van het object. Bij het vaststellen van het bestaan gaat het erom vast te stellen of de feitelijke situatie in overstemming is met de opzet. Mocht de feitelijke situatie niet overeenkomen met de opzet dan moeten de afwijkingen getoetst worden aan de algemene normen van de opdracht. Een veel gebruikte methode om het bestaan van IT objecten te toetsen is het uitvoeren van lijncontroles, ofwel het volledig na lopen van een IT object met als doel het vaststellen of alle handelingen worden uitgevoerd in overeenstemming met de opzet. Wanneer wordt geoordeeld dat de opzet voldoende binnen de organisatie is ingevoerd, dan kan de werking worden getoetst. Hierbij wordt er gekeken of het object functioneert (werkt) conform het bestaan. Ook hier zijn de algemene normen leidend en wordt er aan de hand van deze normen vastgesteld of eventuele afwijkingen van de bestaansvaststelling acceptabel zijn, teneinde een oordeel te kunnen vormen Aspecten Aspecten die bij IT auditing een belangrijke rol spelen zijn effectiviteit, efficiency, betrouwbaarheid en continuïteit (VU, 2006). Effectiviteit is in dit kader de mate waarin de geplande activiteiten worden gerealiseerd en geplande resultaten worden behaald. Efficiency betreft de verhouding tussen de behaalde resultaten en de gebruikte middelen. Betrouwbaarheid betreft in dit verband de juistheid, tijdigheid en volledigheid van de informatie (verwerking of voorziening). Continuïteit wordt beschouwd als de mate waarin de gegevensverwerking ongestoord voortgang vindt. Volgens Van Praat en Suerink (2004) kunnen kwaliteitsaspecten worden onderverdeeld in kwaliteitsattributen. De reden hiervoor is het feit dat het geven van een oordeel over een onderzoeksobject met behulp van kwaliteitsaspecten kan leiden tot problemen. Deze problemen ontstaan wanneer er een motivatie nodig is om aan te geven waarom een bepaald object niet betrouwbaar is. Daarom is voor ieder kwaliteitsaspect een onderverdeling gemaakt in kwaliteitsattributen. Binnen het kwaliteitsaspect effectiviteit worden onder andere de attributen onderhoudbaarheid, herbruikbaarheid en geschiktheid van de infrastructuur benoemd. Kwaliteitsattributen binnen het kwaliteitsaspect efficiency zijn onder andere gebruikersvriendelijkheid en flexibiliteit. Juistheid, volledigheid en tijdigheid zijn onder andere kwaliteitsattributen binnen het kwaliteitsaspect betrouwbaarheid. Ten aanzien van het kwaliteitsaspect continuïteit zijn het onder andere de kwaliteitsattributen herstelbaarheid en uitwijkmogelijkheid. 12

14 3.3.3 Normen Zoals reeds eerder beschreven, zijn normen nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Volgens Van Praat en Suerink (2004) kan er onderscheid worden gemaakt tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de wijze waarop audit uitgevoerd moeten worden. In de statuten, reglementen, richtlijnen en aanbevelingen van de NOREA zijn de belangrijkste uitvoeringsnormen vastgelegd. Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld. Algemene, veel gebruikte toetsingsnormen binnen de IT zijn CobiT, ITIL, Code voor Informatiebeveiliging, Capability Maturity Model en Prince2. Normen vanuit de wetgeving zijn bijvoorbeeld de Wet Bescherming Persoonsgegevens en de Wet Computercriminaliteit. CobiT is ontwikkeld vanuit een audit oogpunt voor het beheren van de informatietechnologie in organisaties. CobiT is opgebouwd uit een viertal domeinen, binnen deze domeinen zijn diverse processen en activiteiten gedefinieerd. ITIL (Information Technology Infrastructure Library) heeft als doel het bieden van ondersteuning bij het verbeteren van de efficiency en effectiviteit van de IT dienstverlening en het beheer van de IT Infrastructuur in organisaties. ITIL bestaat uit 7 sets op strategisch, tactisch en operationeel niveau. In de praktijk zijn meestal de Service Delivery en Service Support sets binnen een IT organisatie geïmplementeerd. De Code voor Informatiebeveiliging is oorspronkelijk ontwikkeld in het Verenigd Koninkrijk waar een aantal grote organisatie in het bedrijfsleven hun dagelijkse praktijk t.a.v. informatiebeveiliging hebben vastgelegd. Deze vastlegging (Code of Practice for Information Security) is later door het ministerie van Economische Zaken en in samenwerking met een groep bedrijven en organisaties in Nederland overgenomen. Inmiddels is de Code voor Informatiebeveiliging een algemeen aanvaarde standaard als het gaat om informatiebeveiliging. De code heeft als doel het verschaffen van een gemeenschappelijke basis voor bedrijven van waaruit deze effectieve codes voor informatiebeveiliging kunnen ontwikkelen, implementeren en meten en daarnaast het bevorderen van het vertrouwen in het handelsverkeer tussen bedrijven. Het Capability Maturity Model (CMM) is een model dat gebruikt wordt om verschillende niveaus in volwassenheid van het systeemontwikkelingsproces aan te merken. CMM bestaat uit 5 niveaus en ieder niveau bevat een reeks procesdoelen die kenmerkend zijn voor de betreffende fase van het systeemontwikkelingsproces. Prince2 is een procesmethodiek en heeft als doel het bieden van een structuur met richtlijnen en hulpmiddelen voor het beheerst opstarten, uitvoeren en afronden van projecten. Prince2 bestaat uit een achttal hoofdprocessen en een achttal componenten. 3.4 De IT auditor Beroepsorganisatie De NOREA is de beroepsorganisatie voor IT auditors. De NOREA waakt over de deskundigheid van haar leden en bindt hen tevens aan regels voor de beroepsuitoefening. De NOREA kent op dit moment 1300 leden en ruim 500 aspirant leden. Toelating tot de NOREA is mogelijk wanneer een kandidaat is afgestudeerd aan een erkende (post) universitaire opleiding tot IT auditor en daarnaast over minimaal 3 jaar beroepservaring beschikt. Na inschrijving mogen de kandidaten de beschermde deskundigheidsaanduiding RE voeren. Volgens het jaarboek 2006/2007 van de NOREA is de doelstelling van deze organisatie drieledig: 1. Het bevorderen van de kwaliteit van de beroepsuitoefening door de leden. De NOREA werkt deze doelstelling als volgt uit: Beroepsreglementering: alle RE s dienen zich te houden aan de Gedrags- en Beroepsregels ( Code of Ethics ) en de daaruit voortvloeiende nadere beroepsreglementering in de vorm van 13

15 specifieke Reglementen, Richtlijnen en Aanbevelingen. De actualiteit van de relevante gedragsen beroepsregels wordt bewaakt door de Raad voor Beroepsethiek; Bewaking van de kwaliteit van de instroom van nieuwe RE s. De Commissie van Toelating is hiermee belast; Tuchtrecht: de NOREA kent een Raad van Tucht. Deze is belast met de behandeling van klachten die tegen RE s worden ingediend; Een verplichting tot voorgezette educatie: de RE s zijn op grond van de Richtlijn Permanente Educatie verplicht jaarlijks 40 uur aan educatie te besteden zodat zij bijblijven op hun vakgebied; 2. Het bevorderen van de ontwikkeling van het vakgebied IT auditing en van het beroep RE door onder andere het organiseren van symposia, het in studiegroepen uitdiepen van vaktechnische onderwerpen en de uitgave van het NOREA blad de EDP-Auditor ; 3. Het behartigen van de belangen van de leden voor zover deze de beroepsuitoefening raken. Hierbij wordt ondermeer gedacht aan het behartigen van de vaktechnische belangen van de RE s in de richting van de overheid en andere beroepsorganisaties, het gevraagd en ongevraagd adviseren van de overheid met betrekking tot vraagstukken op het gebied van IT auditing en het geven van voorlichting betreffende het vakgebied IT auditing en het beroep RE aan leden en derden Eisen aan de IT auditor De NOREA geeft duidelijke richtlijnen ten aanzien van onder andere integriteit, objectiviteit, deskundigheid en zorgvuldigheid. Met name met het Reglement Beroepsuitoefening Register EDP auditors en het Reglement Gedrags- en Beroepsregels Register EDP auditors (GBRE), bewaakt zij het niveau van functioneren van de Register EDP auditors. Sinds juli 2006 is het GBRE vervangen door Code of Ethics for IT auditors. Deze Code of Ethics is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en is een gedragscode die geldig is voor iedere IT auditor. De Code of Ethics geeft richtlijnen ten aanzien van: Integriteit; Objectiviteit; Deskundigheid en Zorgvuldigheid; Geheimhouding; Professioneel gedrag. Integriteit Volgens Van Praat en Suerink wordt de integriteit van de IT auditor gewaarborgd door het zorgvuldig omgaan met en bewust zijn van de vooroordelen die hij kan hebben door zijn persoonlijke kennis en ervaring. De Code of Ethics geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in beroepsmatige en zakelijke betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet volledig is of op meerdere manieren op te vatten is. Objectiviteit Zoals reeds eerder genoemd moet een auditor objectief zijn. De Code of Ethics stelt dat de IT auditor het niet accepteert dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt. Deskundigheid en Zorgvuldigheid De Code of Ethics stelt dat de IT auditor zijn deskundigheid en vaardigheid op het niveau houdt dat vereist is om diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. Daarnaast dient de IT auditor zorgvuldig te handelen bij het verlenen van diensten en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften. 14

16 Volgend op de eerder beschreven soorten IT audits en de verschillende soorten objecten binnen IT audit, betekent dit dat de IT auditor ook voldoende deskundig moet zijn op deze objecten. En omdat deze objecten inhoudelijk sterk uiteenlopen is het te verwachten dat niet alle auditors even deskundig zijn op al deze punten en er specialismen binnen IT auditing ontstaan. Zeker ook omdat de IT zeer dynamisch en continu aan veranderingen onderhevig is, zal enige vorm van specialisme voor een IT auditor onontbeerlijk zijn wil hij in staat zijn om zich voortdurend op de hoogte te houden van de ontwikkelingen binnen zijn vakgebied. Volgens Van Praat en Suerink dient de IT auditor naast het zorgen voor relevante deskundigheid ook rekening houden met de grenzen van zijn deskundigheid. Ondanks dit specialisme, kan echter gesteld worden dat iedere IT Auditor in ieder geval voldoende kennis moet hebben van de volgende zaken: algemene organisatie principes, de omgeving waarin de infrastructuur en de systemen zich bevinden, de System Life Cycles, de verschillende ontwikkel methodieken, informatiebeveiliging en van auditing in het algemeen (Van Biene-Hershey, 1996). Geheimhouding De Code of Ethics stelt dat de IT Auditor een geheimhoudingsplicht heeft zowel in zijn sociale omgang, de audit organisatie waaraan hij verbonden is en na het beëindigen van de verbintenis met een cliënt of organisatie. Professioneel gedrag De Code of Ethics stelt dat de IT Auditor zich dient te houden aan de relevante wet en regelgeving en zich onthoudt van handelingen welke het audit beroep in diskrediet kan brengen. 3.5 Tot slot In dit hoofdstuk hebben we specifiek vanuit oogpunt van IT auditing aandacht besteed aan de soorten IT audits, de aspecten die een rol spelen bij de daadwerkelijke uitvoering van IT audits, namelijk de objecten, de kwaliteitsaspecten, de normen en de IT auditor. Samenvattend kunnen we zeggen dat de soorten IT audits direct samen hangen met de objecten van onderzoek. Deze objecten vallen over het algemeen onder één van de volgende categorieën: organisatie van informatievoorziening, informatiesystemen en systeemontwikkeling, technische infrastructuur of informatiebeveiliging. Voor alle soorten objecten kan de opzet, de bestaan en de werking worden vastgesteld. Belangrijke aspecten waarover bij IT audits een uitspraak wordt gedaan zijn effectiviteit, efficiency, betrouwbaarheid en continuïteit. Veel gebruikte, algemene normen waaraan de IT objecten worden getoetst zijn raamwerken die zich richten op één of meerdere aan de IT gelieerde onderwerpen, zoals ITIL dat zich richt op de IT dienstverlening en beheer en CMM dat betrekking heeft op systeemontwikkeling. Voor de uitvoering van IT audits moet de interne IT auditor niet alleen aan eisen voldoen als integriteit en objectiviteit, maar ook aan de eis met betrekking tot deskundigheid. Juist het kunnen voldoen aan deze eis, zou mogelijk als onderscheidend kenmerk van de IT auditor beschouwd kunnen worden. Het gaat hier immers niet alleen om deskundigheid op het gebied van auditing in het algemeen, maar ook om deskundigheid met betrekking tot de objecten die hij onderzoekt, namelijk de IT in al zijn facetten. Volgens Mollema en Van der Pijl (2005) heeft IT auditing zich in zijn circa 30 jarig bestaan weliswaar weten te vestigen als een levensvatbaar beroep met een eigen beroepsorganisatie, maar heeft het als vak nog onvoldoende relevantie verkregen. Door meer vanuit de organisatiestrategie te auditen en zich sterker op veranderingen te oriënteren, zou het volgens hen deze hogere relevantie wel kunnen verkrijgen. De vraag die deze andere rol echter oproept, is of de IT auditor hier dan wel de meest geschikte persoon voor is of dat het eerder iets is voor de operational auditor. Waarbij de IT auditor dan de specifieke IT strategie- en IT veranderingsaspecten voor zijn rekening zal nemen. Om hier een uitspraak over te kunnen doen, zullen we in het volgende hoofdstuk dieper ingaan op aspecten die een rol spelen bij de uitvoering operational audits, namelijk objecten, aspecten, normen en de aan de auditor gestelde eisen. 15

17 4 Operational auditing 4.1 Inleiding Hoewel het vakgebied van operational auditing in vergelijking met IT auditing nog relatief kort bestaat, lijkt men behoorlijk eensgezind over de inhoud ervan. De definities van operational auditing vertonen namelijk, in tegenstelling tot die voor IT auditing, behoorlijk veel overeenkomsten. De Vereniging van Register Operational auditors (VRO) geeft op hun website de volgende definitie van operational auditing (2007): Operational auditing is een onderzoek gericht op de kwaliteit van de beheersing van bedrijfsprocessen door het verantwoordelijk management. Onder kwaliteit is in dit verband te verstaan de effectiviteit en efficiency van getroffen maatregelen die moeten waarborgen dat de activiteiten plaatsvinden in overeenstemming met de uitgangspunten van de organisatie, de "tight controls" en de algemene eisen die aan beheersing te stellen zijn. Driessen en Molenkamp (2004) verstaan onder een operational audit: het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex aan beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingskaders die door het bovenliggende managementniveau zijn geformuleerd. Kocks (2003) gebruikt de volgende door Paape voorgestelde definitie van operational audit: een objectief onderzoek naar het functioneren van het management control system van een organisatie, gericht op de realisatie van de strategie van de organisatie, met als oogmerk het geven van additionele zekerheid en waar nodig het geven van adviezen ter verbetering. De Cock en Molenkamp (2004) geven geen definitie van operational auditing, maar zeggen de operational auditor te beschouwen als degene die het management aanvullende zekerheid verschaft over de kwaliteit van beheersing van realisatie van de doelstellingen. Hiermee levert de operational auditor een bijdrage aan de continuïteit van de organisatie. In lijn hiermee zeggen Hartog en De Korte (2003) dat operational auditors een oordeel geven over de kwaliteit van de beheersing van de organisatie en daartoe de kwaliteit van de beheersing van de meest kritische processen onderzoeken. Beheersing wordt volgens hen daarbij vaak geïnterpreteerd als het geheel van maatregelen dat moet waarborgen dat de doelstellingen zullen worden bereikt. Het verkrijgen van additionele zekerheid over het bereiken van de doelstellingen vormt het uiteindelijke doel van de operationele audit. Vergelijking van de hierboven genoemde definities en omschrijvingen, maakt het volgende duidelijk: 1. Object van onderzoek is volgens alle definities de bedrijfsvoering door het management. De VRO spreekt over de beheersing van bedrijfsprocessen, Driessen en Molenkamp van het gehele complex aan beheersingsmaatregelen en Kocks van het Management Control System gericht op de realisatie van de strategie van de organisatie ; 2. Als doel van een operational audit spreekt Kocks over het geven van additionele zekerheid en het waar nodig geven van adviezen te verbetering. Zowel Hartog en De Korte als De Cock en Molenkamp noemen daarentegen alleen het verkrijgen van additionele zekerheid als doel. De definities van de VRO en van Driessen en Molenkamp benoemen tenslotte helemaal geen doel van een operational audit. Bij het spreken over operational auditing zullen wij in het vervolg van deze scriptie uitgaan van de definitie die Driessen en Molenkamp hiervoor geven. Dit doen wij, in aansluiting op onze keuze voor de te hanteren definitie van IT auditing, vanwege de wijze waarop in deze definitie het object van onderzoek wordt omschreven. 16

18 4.2 Soorten operational audits Zoals de hierboven genoemde omschrijvingen aangeven, richten operational audits zich met name op de kwaliteit van de bedrijfsvoering. Deze bedrijfsvoering wordt ook wel weergegeven in de managementcyclus, welke achtereenvolgens bestaat uit beleid formuleren, inrichten, uitvoeren en toetsen. Hierbij bestaat beleid formuleren uit alles wat betrekking heeft op het sturen en beheersen van de organisatie, zoals de missie, strategie, de doelstellingen en de kaders waarbinnen die doelstellingen bereikt moeten worden. Inrichten betreft de inrichting van de activiteiten binnen een organisatie(-onderdeel), voortvloeiend uit het eerder geformuleerde beleid, en uitvoeren de daadwerkelijke uitvoering van die activiteiten. Bij dit laatste is het natuurlijk belangrijk dat het plaatsvindt conform de gestelde kaders. Om dit vast te stellen en zo nodig in te kunnen grijpen, zal een regelmatige evaluatie van de feitelijke situatie moeten plaatsvinden. Dit betreft het onderdeel toetsen. Schematisch ziet de managementcyclus er als volgt uit: Beleid Formuleren Toetsen Inrichten Uitvoeren Figuur 3: De managementcyclus Omdat de bedrijfsvoering dus een breed spectrum van onderwerpen bestrijkt, kunnen bij een operational audit verschillende aspecten van de bedrijfsvoering in ogenschouw worden genomen. Variërend van de algemene kwaliteit van de beheersing van de organisatie of een afdeling, tot de kwaliteit van de uitvoering van specifieke processen en producten. In het eerste geval gaat het om een procesaudit, en in het tweede geval om een productaudit. Bij een procesaudit wordt het gehele stelsel van beheersingsmaatregelen die de uitkomsten voor de organisatie moeten waarborgen, beoordeeld. Bij een product- (of performance) audit daarentegen, wordt de kwaliteit van een specifiek onderdeel of uitkomst van de bedrijfsvoering getoetst. Zoals de kwaliteit van de uitwerking van de kaders ten behoeve van compliancy met wet- en regelgeving (beleid formuleren), de kwaliteit van een verantwoording zoals een milieuverslag of de mate waarin de organisatiedoelstellingen worden gerealiseerd (uitvoeren). In alle gevallen vervult de operational auditor dus de uitvoering van het onderdeel toetsen binnen de managementcyclus. 4.3 Uitvoering van de operational audit Objecten van onderzoek Uit de omschrijvingen van operational auditing bleek dat de organisatie, en dan in het bijzonder de kwaliteit van de beheersing van de bedrijfsvoering, het primaire object van onderzoek is bij operational auditing. Vanuit deze centrale focus op organisatie kunnen daarvan afgeleide onderzoeksobjecten worden afgeleid. Het betreft dan objecten als bedrijfsonderdelen, de bedrijfsprocessen, het beleid, de managementinformatie, procedures en regels maar ook objecten als veranderingsprocessen en projecten. Van deze objecten kunnen achtereenvolgens de opzet, het bestaan en de werking worden vastgesteld. Wanneer vanuit een (proces-) audit wordt gekeken naar de managementcyclus, zal de opzet, het bestaan en de werking van de beheersingsmaatregelen binnen een organisatie worden beoordeeld. Allereerst wordt de opzet getoetst door te kijken naar de kwaliteit van de uitwerking door de proceseigenaar van de centrale beheersingskaders (de strategic of tight controls) in decentrale beleidskaders en inrichtingskeuzes (management en operational controls). Hiervoor zal gekeken worden naar zaken als de taak- en verantwoordelijkheidsverdeling, resultaatafspraken, procedures, normen en richtlijnen en productspecificaties. Dit gebeurt vooral door middel van het voeren van interviews (met het hogere kader) en het opvragen en bestuderen van documenten. Als uit de audit blijkt dat de beleids- en inrichtingskeuzes niet in overeenstemming zijn met de beheersingskaders of niet uitvoerbaar, zou de audit hier kunnen eindigen. Immers, de inrichting van het proces (het bestaan) en het feitelijk verloop (de 17

19 werking) zullen alleen toevallig in overeenstemming kunnen zijn met de normen. De auditor zou echter ook kunnen kijken welke maatstaven en normen in de praktijk worden gehanteerd, en kunnen aanbevelen deze alsnog vast te leggen. Wanneer de opzet van de beheersingskaders als positief is beoordeeld, kan de auditor vervolgens kijken in welke mate de decentrale processen en eenheden zijn ingericht conform de doelstellingen en kaders. Hiermee gaat hij na of het uiteindelijke proces ook daadwerkelijk beheersbaar is ingericht, en kijkt hij derhalve of de beheersingsmaatregelen effectief en efficiënt zijn. Dit betekent dat hij door middel van interviews (met het lagere kader), observaties ter plekke en onderzoek van documenten en resultaatgegevens nagaat of met de beheersingsmaatregelen adequate informatie beschikbaar komt om het proces of de productspecificaties te meten en bij te stellen (dat wil zeggen of ze effectief zijn) en of precies de juiste beheersingsmaatregelen aanwezig zijn om de risico s te beheersen (dat wil zeggen of ze efficiënt zijn). Als de beheersingsmaatregelen een consistente en logische uitwerking vormen van de formele productspecificaties, richtlijnen, procedures en criteria, kan de werking worden getoetst. Door middel van deelwaarnemingen en steekproeven kan worden vastgesteld of de organisatie en de beheersingsmaatregelen ook daadwerkelijk zo functioneren als zou moeten Aspecten Kwaliteitsaspecten die bij operational audits vaak worden gehanteerd zijn effectiviteit en efficiency. Dit zagen we al bij de definities van operational auditing van de VRO en van Driessen en Molenkamp. Immers, beiden stelden dat de operational auditor een oordeel geeft over de effectiviteit en efficiency van de beheersingsmaatregelen die het management treft om te bewaken dat de organisatiedoelstellingen zullen worden gerealiseerd. De effectiviteit van de beheersingsmaatregelen betreft hier de mate waarin bij een verstoring of afwijking van de gebruikelijke situatie, door middel van het inzetten van de beheersingsmaatregelen toch de geformuleerde eisen bereikt kunnen worden. Bij efficiency van de beheersingsmaatregelen gaat het om de mate waarin de beheersingsmaatregelen qua omvang en gewicht voldoende zijn toegesneden op de specifieke behoeften van de procesverantwoordelijke om een verstoring of afwijking te kunnen signaleren en te beïnvloeden. Naast deze twee kwaliteitsaspecten, zijn er echter nog meer aspecten die een rol kunnen spelen bij een audit (Driessen en Molenkamp, 2004). Deze zijn bijvoorbeeld de flexibiliteit en continuïteit (van de processen), doorlooptijd (van het productieproces), de veiligheid (van medewerkers en bedrijfseigendommen) en de toegankelijkheid en betrouwbaarheid (van informatie). Betrouwbaarheid is hierbij een samenspel van de aspecten tijdigheid, juistheid en volledigheid. Welke kwaliteitsaspecten uiteindelijk in beschouwing zullen worden genomen, zal worden bepaald door de aard van het onderzoeksobject en de gehanteerde normen Normen Aangezien in een audit de huidige situatie getoetst wordt ten aanzien van de gewenste situatie, vormen de normen het uitgangspunt van de onderzoeksactiviteiten. Bij een operational audit, dat zich richt op de kwaliteit van de beheersing van de bedrijfsvoering, vormen de beheersingskaders en de beheersingsmaatregelen het uitgangspunt. Waarbij de beheersingskaders de door de top van de organisatie aan de proceseigenaar opgelegde productspecificaties, richtlijnen en randvoorwaarden zijn en de beheersingsmaatregelen de daadwerkelijk door de proceseigenaar getroffen maatregelen (Driessen en Molenkamp). Binnen operational auditing zijn veel gebruikte normen om de kwaliteit van de beheersingsmaatregelen te toetsen het COSO-raamwerk, het KAD-model, het EFQM- of INK-model en de Balanced Business Scorecard. Het COSO-raamwerk is ontstaan in de Verenigde Staten, en is opgesteld door de Committee of Sponsoring Organizations of the Treadway Commission, in Deze commissie heeft een rapport (het zogenaamde COSO-rapport) opgesteld met als doel het management te ondersteunen bij het beheersen van de activiteiten en bedrijfsprocessen van haar organisatie. Het rapport richt zich specifiek op internal control. Hieronder verstaan zij het proces dat, onder invloed van het management en medewerkers, redelijke zekerheid moet geven over het bereiken van de doelstellingen met betrekking tot één of meer van de volgende categorieën: betrouwbaarheid van de financiële informatievoorziening, effectiviteit en efficiency van de bedrijfsprocessen en naleving van de wet- 18

20 en regelgeving. In het COSO-rapport zijn verschillende interne beheersingsthema s gebundeld tot één raamwerk. Dit raamwerk bestaat uit vijf, onderling samenhangende elementen voor internal control: 1. Control Environment; 2. Risk Assessment; 3. Control Activities; 4. Information and Communication; 5. Monitoring. Daar waar het COSO-raamwerk zich richt op organisatiebeheersing, richt het model Kwaliteit Administratieve Dienstverlening (het KAD-model) zich op procesbeheersing. Dit model komt voortuit de systeemleer en bestaat uit drie modules die gezamenlijk de managementkundige vraagstukken bij de inrichting en beheersing van een verantwoordelijkheidsgebied behandelen: de productmodule, de procesmodule en de structuurmodule. Het EFQM- en het (Nederlandse) INK-model komen voort uit de kwaliteitsleer. Het door de European Foundation for Quality Management (EFQM) ontwikkelde model richt zich op negen aandachtsgebieden van de bedrijfsvoering, waarvan procesbeheersing er een is. Het model van het Instituut Nederlandse Kwaliteit (het INK-model) is afgeleid van dit EFQM-model. Het EFQM- en INK-model bestaan uit de vijf organisatiegebieden Leiderschap, Middelen, Strategie en Beleid, Medewerkers en Processen, uit de vier resultaatgebieden Waardering Medewerkers, Waardering Klanten, Waardering Maatschappij en Bedrijfsresultaat. Bij de toepassing van dit model gaat het om de vier fases Bewustmaken, Diagnosticeren, Verbeteren en Besturen. De Business Balanced Scorecard is er op gestoeld dat het management inzicht wil hebben in een viertal perspectieven om de organisatie goed te kunnen aansturen en beheersen. Deze vier perspectieven zijn het Financiële perspectief, het Innovatieperspectief, het Procesperspectief en het Klantenperspectief. Voor elk perspectief zullen doelstellingen en succesfactoren benoemd moeten worden (de zogenaamde kritische succes factoren), welke regelmatig gemeten zullen moeten worden om zo nodig bij te kunnen sturen. Van iedere kritische succes factor zal moeten worden nagegaan welke invloed het heeft op de organisatie, de informatievoorziening, het personeelsbeleid en de interne communicatie. Op basis van deze analyse kan het management keuzes maken, welke vertaald moeten worden in beheersingskaders en beheersingsmaatregelen. 4.4 De operational auditor Beroepsorganisaties Voor de operational auditors is de Vereniging van Register Operational auditors (VRO) de meest direct aangewezen beroepsorganisatie, hoewel ook de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL) zich sterk richt op operational auditors. Dit komt tot uiting met de integratieovereenkomst die in maart 2007 door de VRO en de IIA NL is aangenomen. De VRO bestaat nu circa 13 jaar en is de beroepsorganisatie voor operational auditors. Men kan alleen worden toegelaten tot de VRO wanneer men is afgestudeerd aan een erkende postdoctorale opleiding tot operational auditor en beschikt over drie jaar werkervaring als operational auditor. Na inschrijving mag men de beschermde titel RO achter de naam voeren. In de Statuten van de VRO zijn de volgende doelstellingen van de VRO benoemd: 1. Het bevorderen van een goede beroepsuitoefening door de leden die in het Register Operational auditors zijn ingeschreven; 2. Het bevorderen van de verdere ontwikkeling van het vakgebied operational auditing en van het beroep van operational auditor. Dit doet zij onder meer door het uitgeven van het vaktijdschriften De operational auditor en (in samenwerking met de IIA NL) Audit Magazine; 3. Het bevorderen van ter zake dienende opleidingen, gericht op het op peil houden van de deskundigheid van de leden; 4. Het behartigen van de gemeenschappelijke belangen van de leden, voor zover deze de beroepsuitoefening raken. 19