IT AUDITOR OF OPERATIONAL (IT) AUDITOR?

IT AUDITOR OF O PERATIONAL (IT) AUDITOR ? Dat is de vraag .

31 maart 2008 Scriptie ter afronding van de post-graduate IT audit opleiding aan de vrije Universiteit amsterdam Jan Companje Henk Laméris

0Voorwoord Ter afsluiting van onze 2,5 durende Postgraduate IT Audit Opleiding aan de vrije Universiteit amsterdam, hebben wij een scriptie geschreven over de onderzoeksvraag “IT auditor of Operational (IT) auditor?: Dat is de vraag.” De keuze voor dit onderwerp als vraagstelling was eigenlijk niet zo moeilijk. Reeds in het eerste jaar van onze studie aan de vrije Universiteit amsterdam wist één van de twee auteurs van deze scriptie al het onderwerp. Tijdens één van de colleges werd door de docent de stelling geponeerd: “ik neem geen IT auditors meer aan, maar alleen nog operational auditors”. Waarom deze uitspraak? Ruim 2 jaar later is de toenemende vraag naar zowel IT auditors als operational auditors binnen interne auditdiensten een erg interessante ontwikkeling. Bij het tot stand komen van deze scriptie waren een groot aantal personen direct of indirect betrokken. Een woord van dank is dan ook zeker op zijn plaats. Vanuit de vrije Universiteit amsterdam werd Jan van Praat aangewezen als begeleidend docent. Van hem was de uitspraak: “ik neem geen IT auditors meer aan, alleen nog maar operational auditors”. Onze bedrijfscoach was Hans Douma. Wij zijn deze heren onze oprechte dank verschuldigd voor hun positief kritische inbreng, hun praktische insteek en het doorlezen van stukken. Jan van Praat was ook bereid om vanuit zijn dagelijkse functies inhoudelijk, door het laten afnemen van een interview, een bijdrage te leveren aan onze scriptie. Behalve onze scriptiebegeleider hebben wij in het kader van onze scriptie nog een aantal andere personen geïnterviewd. Wij willen hen bedanken voor de tijd die zij hebben vrijgemaakt om in een interview hun visie te geven op het scriptieonderwerp. In het bijzonder willen wij de heren Ronald de Korte, Jan Driessen en Ronald Paans bedanken. Zij hebben de richting van onze interviewvragen voor een groot deel bepaald. Een gezin bestaande uit vrouw en kinderen, een werkkring en daarnaast nog een opleiding, het viel niet altijd mee. Vooral het derde jaar met het uitwerken van de tentamens, het voorbereiden van het mondelinge examen en het schrijven van een scriptie vergde veel tijd. Dat dit soms ten koste ging van de besteedbare tijd binnen onze families spreekt eigenlijk wel voor zich. Onze dank gaat daarom ook uit naar hen voor de ruimte en het begrip die wij hiervoor hebben gekregen. 31 maart 2008 Jan Companje

Henk Laméris

2

Inhoudsopgave Voorwoord ......................................................................................................................... 2 1. Aanleiding en doelstelling .............................................................................................................. 4 1.2 Probleemstelling ........................................................................................................................... 5 1.3 Centrale onderzoeksvraag ........................................................................................................... 6 1.4 Deelvragen ................................................................................................................................... 6 1.5 Relevantie van dit onderzoek voor het vakgebied IT auditing ..................................................... 6 1.6 Afbakening van het onderzoek..................................................................................................... 6 1.7 Opbouw van het onderzoek.......................................................................................................... 7 1.7.1 Theoretisch onderzoek ............................................................................................................. 7 1.7.2 Praktijkonderzoek ..................................................................................................................... 7 2. Theoretisch kader .......................................................................................................................... 8 2.1 Inleiding......................................................................................................................................... 8 2.2 Definities IT Audit en operational audit ........................................................................................ 8 2.2.1 Definitie IT audit ........................................................................................................................ 8 2.2.2 Definitie operational audit ......................................................................................................... 9 2.2.3 Analyse definities ...................................................................................................................... 9 2.3 Opleiding IT auditor versus operational auditor ......................................................................... 10 2.3.1 Algemene opleidingsinformatie .............................................................................................. 10 2.3.2 Specifieke opleidingsinformatie .............................................................................................. 10 2.3.3 Analyse opleidingen................................................................................................................ 11 2.4 Objecten van onderzoek............................................................................................................. 11 2.4.1 IT audit objecten ..................................................................................................................... 12 2.4.2 Operational audit objecten...................................................................................................... 12 2.4.3 Analyse onderzoeksobjecten.................................................................................................. 13 2.5 Kwaliteitsaspecten...................................................................................................................... 14 2.5.1 IT audit kwaliteitsaspecten...................................................................................................... 14 2.5.2 Operational audit..................................................................................................................... 14 2.5.3 Analyse ................................................................................................................................... 15 2.6. Toetsingsnormen ............................................................................................................................. 15 2.6.1 Toetsingsnormen voor beide auditdisciplines ........................................................................ 15 2.6.2 Toetsingsnormen voor IT audit............................................................................................... 16 2.6.3 Toetsingsnormen voor operational audit ................................................................................ 17 2.6.4 Analyse van toetsingsnormen ............................................................................................... 19 2.7 Het audit proces.......................................................................................................................... 19 2.7.1 IT audit proces ........................................................................................................................ 19 2.7.2 Operational audit proces......................................................................................................... 20 2.7.3 Analyse audit proces .............................................................................................................. 21 3. De praktijk .................................................................................................................................... 22 3.1 Inleiding....................................................................................................................................... 22 3.2 Wat is de meest voorkomende plaats in de organisatie van operational auditors en IT auditors en hoe is mogelijke samenwerking georganiseerd? .................................................................. 24 3.3 Welke auditopdrachten worden er uitgevoerd door deze auditdisciplines?............................... 25 3.4 Is er een best practice te onderkennen?.................................................................................... 27 3.5 Analyse ....................................................................................................................................... 28 4. Conclusies.................................................................................................................................... 29 4.1 Antwoord op de onderzoeksvragen............................................................................................ 29 4.2 Onderkende Best Practice.......................................................................................................... 30 BIJLAGE 1 Opleidingsschema ................................................................................................................... 31 BIJLAGE 2 Lijst met geïnterviewde personen............................................................................................ 33 BIJLAGE 3 Literatuurlijst ............................................................................................................................ 34 BIJLAGE 4 Interviewvragen ....................................................................................................................... 35 BIJLAGE 5 Dossierreview formulier ........................................................................................................... 38

3

1.

AANLEIDING EN DOELSTELLING

In veel organisaties zijn verschillende interne auditdisciplines aanwezig. Twee onderkende auditdisciplines zijn IT audit en operational audit. Deze auditdisciplines kunnen in een organisatie zijn samengevoegd binnen een interne auditdienst, maar dit is niet strikt noodzakelijk. Elke interne auditdiscipline voert onderzoek uit ten behoeve van dezelfde opdrachtgever (management). De audits kunnen verschillende doelstellingen hebben. Doelen die men nastreeft bij een interne audit kunnen heel divers zijn, bijvoorbeeld het: • • •

verstrekken van zekerheid; verbeteren van de bedrijfsvoering; voldoen aan wet- en regelgeving

Als bij het object van onderzoek gebruik wordt gemaakt van geautomatiseerde hulpmiddelen kan de audit zelfstandig worden uitgevoerd door een IT auditor, of kan de financial auditor of operational auditor zich bij de audit laten bijstaan door een IT auditor. In het kader van de jaarrekeningcontrole kan de financial auditor zich bijvoorbeeld laten bijstaan door een IT auditor. De laatste jaren is er wel het een en ander veranderd in auditland. In alle branches, zowel financiële dienstverlening, algemene dienstverlening/industrie en non-profitorganisaties wordt de prioriteit gegeven aan het interne risicobeheersingsysteem. Hierbij wordt de focus veel meer dan in het verleden gericht op de ‘betrouwbaarheid van de financiële informatie’ gebaseerd op de daar aan ten grondslag liggende bedrijfsprocessen. De commotie over de recente boekhoudschandalen zal daarbij ongetwijfeld een belangrijke rol spelen. Als gevolg hiervan zal de (externe) accountant van een organisatie moeten vaststellen dat de financiële processen het gehele jaar betrouwbaar hebben gefunctioneerd. Tevens moet de ondernemingsleiding vandaag de dag aantoonbaar maken dat zij de bedrijfsprocessen beheerst (in control is). Dit betekent dat de beursgenoteerde vennootschappen moeten voldoen aan de ‘codes’ voor corporate governance1 (bijvoorbeeld de Sarbanes-Oxley Act 2002). Voor beursgenoteerde vennootschappen, niet-beursgenoteerde vennootschappen en non-profitorganisaties is het hebben van een SAS70 verklaring een belangrijke voorwaarde om te kunnen concurreren met branchegenoten. Als gevolg van deze veranderingen zal de audit anders ingestoken moeten worden waarbij de interne auditdisciplines nadrukkelijker betrokken zullen worden: bij het beschouwen van kritische onderdelen van een organisatie met als doel verbeteringen te signaleren en in gang te zetten en • bij de totstandkoming van de In Control Statement of het verkrijgen van een SAS70 verklaring. De audit zal meer gericht moeten worden op de systemen en processen en minder •

1

Corporate governance handelt over de vraag hoe invulling wordt gegeven aan het bestuur van een onderneming en hoe verantwoording over dit bestuur wordt afgelegd. (ministerie van Financiën www.minfin.nl/nl/onderwerpen, financiële_markten/ corporate_governance).

4

op het aflopen van standaard auditprogramma’s. Dit betekent een verschuiving van de interne, financieel georiënteerde audit naar operational audit. Een recente bevestiging hiervan is het samenvoegen van het Instituut van Internal Auditors Nederland (IIA) en de Vereniging Register Operational auditors (VRO). Vandaag de dag wordt operational auditing in een adem met genoemd met internal auditing2. De recente ontwikkelingen leiden er toe dat er discussies ontstaan over het vakgebied van de IT auditor en de operational auditor. De doelstelling van onze scriptie is om vast te stellen op welke wijze met dit keuzevraagstuk in de praktijk wordt omgegaan en of er ten aanzien van deze keuzeproblematiek een best practice is te onderkennen.

1.2

Probleemstelling

De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance3 maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Voor het verkrijgen van een SAS70 verklaring is de informatievoorziening inclusief de IT-toepassingen van doorslaggevend belang. Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door:4 • de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; • de beheersing van IT-veranderingstrajecten; • de beheersing van de IT-infrastructuur, waarop de systemen draaien; • de beheersing van IT-risico’s. Van oudsher zal een IT auditor vanwege zijn deskundigheid en professionaliteit een oordeel moeten geven over de kwaliteit van de geautomatiseerde systemen in het kader van de beheersing van de processen. Enige kennis van de bedrijfsprocessen is hierbij onontbeerlijk. In het kader van IT-Governance heeft de IT auditor ook een rol bij de totstandkoming van de informatiestrategie en informatiebeleid. De IT auditor kan ook een belangrijke rol spelen bij de beoordeling van de informatievoorziening inclusief de IT-toepassingen in verband met het verkrijgen van een SAS70 verklaring. De operational auditor onderzoekt of er risico’s bestaan binnen de gehele interne organisatie die het behalen van de organisatiedoelstellingen in de weg kunnen staan. Als een operational auditor een oordeel moet geven over de beheersing van de bedrijfsprocessen zal hierbij de kwaliteit van de geautomatiseerde systemen niet buiten beschouwing kunnen blijven. Enige specifieke IT kennis is hierbij onontbeerlijk. In het kader van Corporate Governance en het verkrijgen van een SAS70 verklaring heeft de operational auditor ook een rol bij de totstandkoming van

2

Aan de Erasmus Universiteit wordt het vakgebied aan geduid met de term Internal/Operational auditing (I/OA). 3 IT-Governance gaat over het besturen, beheersen, uitvoeren, verantwoording afleggen over en het toezicht op de informatie voorziening binnen een organisatie en verantwoording afleggen door het voor IT verantwoordelijke management. IT vormt een integraal onderdeel van de strategie van een organisatie. 4 Bron Norea brochure “IT Governance: een Verkenning.

5

de strategie en beleid bij de beoordeling van de informatievoorziening inclusief de IT-toepassingen.

1.3

Centrale onderzoeksvraag

Wij denken dat er een tendens gaande is bij de interne auditdiensten waarbij de operational auditor en IT auditor steeds vaker gezamenlijk vanuit hun eigen materiedeskundigheid audits uitvoeren. Hierbij schuiven operational auditor en IT auditor steeds meer naar elkaar op ten aanzien van de auditobjecten. Bij operational audit zien we dat informatievoorziening inclusief de IT toepassingen geïntegreerd gaan worden in de objecten van operational audit. Bij IT audit is de ontwikkeling dat de IT auditor zich meer gaat richten op inrichting en beheer van IT en minder op de technische details van IT. Het leek ons een interessant onderzoek om naar aanleiding van deze tendens vast te stellen in hoeverre de vakgebieden IT audit en operational audit elkaar overlappen. Vandaar onze onderzoeksvraag:

In hoeverre overlappen de onderzoeksobjecten van de operational auditor en de IT auditor elkaar?

1.4

Deelvragen

Om onze centrale onderzoeksvraag te kunnen beantwoorden, zijn de volgende deelvragen te onderscheiden:

• •

Wat verstaan wij onder operational audit en wat onder IT audit? Wat is de meest voorkomende plaats in de organisatie van operational auditors en IT auditors en hoe is mogelijke samenwerking georganiseerd? Welke auditopdrachten worden er uitgevoerd door deze auditdisciplines? Is er een best practice te onderkennen?

1.5

Relevantie van dit onderzoek voor het vakgebied IT auditing

• •

Indien de IT auditor meer gaat redeneren vanuit de organisatiedoelstellingen dan vanuit de techniek kan er sprake zijn van een overlap met de operational auditor. Wij denken met ons onderzoek een bijdrage te leveren aan het vakgebied IT audit omdat juist op het punt van overlap de meningen van professionals die in beide vakgebieden werkzaam zijn kunnen verschillen.

1.6

Afbakening van het onderzoek

Om het onderzoek uitvoerbaar te maken binnen de gestelde limieten en tijd is een keuze gemaakt om de integratie van de auditdiscipline financial audit met operational audit en IT audit buiten beschouwen te laten. Uitgangspunt bij de geïnterviewde organisaties is dat de beide auditdisciplines operational audit en IT audit wel binnen de organisatie voorkomen. Dat de beide audit-disciplines in één auditdienst moeten zijn ondergebracht is geen voorwaarde.

6

Bij het bestuderen van informatie vanuit de beide beroepsgroepen heeft onderzoek plaatsgevonden naar de soorten opleidingen IT audit en operational audit. Hierbij wordt inzicht gegeven in de verschillen en de overeenkomsten tussen beide opleidingen. Hierbij hebben wij ons beperkt tot:

•

de opleiding Executive Master of Internal Auditing (EMIA) van de Amsterdam Business School; de postinitiële masteropleiding Internal/Operational auditing aan de Erasmus School of Accounting & Assurances (ESAA) en de Postgraduate IT Audit Opleiding aan de vrije Universiteit amsterdam.

1.7

Opbouw van het onderzoek

• •

1.7.1 Theoretisch onderzoek Het theoretisch onderzoek bestond uit het bestuderen van informatie vanuit de beide beroepsgroepen. Aanvullend is literatuur bestudeerd om het theoretisch gedeelte te completeren. Vervolgens is gebruik gemaakt van de input die de heren de Korte, Driessen en Paans ons hebben gegeven om het theoretisch gedeelte te toetsen in de praktijk.

1.7.2 Praktijkonderzoek De aansluiting met de praktijk heeft plaatsgevonden door het afnemen van een aantal interviews met interne auditdiensten bij verschillende organisaties. Onderwerpen die hierbij aan de orde zijn gekomen: • •

invulling van de functies (vakgebied) IT audit en operational audit ontwikkelingen in het vakgebied IT audit en operational audit.

Tevens hebben wij een aantal auditdossiers onderzocht waarbij telkens de inhoud van één dossier van een uitgevoerde IT audit is vergeleken met de inhoud van één dossier van een uitgevoerde operational audit.

7

2.

THEORETISCH KADER

2.1

Inleiding

In dit hoofdstuk willen we ingaan op de theoretische aspecten van onze onderzoeksvraag en de daarbij behorende subvragen. Allereerst zullen wij de door ons gehanteerde definities geven van IT audit en operational audit. Vervolgens vergelijken we de inhoud van de opleidingsmodules in de brochures van de Postgraduate IT Audit Opleiding van de vrije Universiteit amsterdam met die van de opleiding Executive Master of Internal Auditing (EMIA) van de Amsterdam Business School en de postinitiële masteropleiding Internal/Operational auditing aan de Erasmus School of Accounting & Assurances (ESAA). Doel hiervan is vast te stellen of er sprake is van overlap in de aangeboden lesstof. Daarna gaan we een aantal onderzoeksobjecten en aspecten van IT audit en operational audit beschouwen om vast te stellen of hier sprake is van overlap. Hierbij besteden we aandacht aan de gehanteerde beheersmodellen en normenkaders.

2.2

Definities IT Audit en operational audit

In dit hoofdstuk willen we ingaan op de afzonderlijke definities van beide vakgebieden. Voor beide disciplines geldt dat ze ‘auditing’ in hun naam dragen. ‘auditing’ is afgeleid van de Latijnse term ‘audire’ (toehoren). Auditing heeft diverse definities. Een in beide beroepsgroepen gangbare definitie van auditing is van Prof. Kocks: 5 Auditing is het vakgebied dat zich bezighoudt met het, op grond van onderzoek (audit) door een deskundige (auditor), beoordelen van één of meerdere (audit)objecten in relatie tot (toetsings)normen en het weergeven van de uitkomsten van het onderzoek in de vorm van een oordeel aan de opdrachtgever en/of (via de opdrachtgever) aan derden.

2.2.1 Definitie IT audit Onze definitie van IT auditing luidt: Het vakgebied dat zich bezighoudt met de beoordeling van en advisering over objecten van de informatievoorziening in een omgeving waar gebruik word gemaakt van automatisering. Het doel hiervan is kwalitatief en/of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever of organisatie gerealiseerd worden.

5

gepubliceerd in de EDP-Auditor nummer 2 2005

8

Uit deze definitie blijkt de volgende twee, voor het vakgebied IT auditing kenmerkende, elementen6 • •

Er vindt een beoordeling, een audit plaats. Hierbij kan in voorkomende mate sprake zijn van advisering. Er wordt een aantal objecten onderscheiden die als gemeenschappelijk kenmerk hebben dat ze betrekking hebben op de (organisatie van de) informatievoorzienig in een omgeving waarin gebruik wordt gemaakt van informatie- en communicatietechnologie.

2.2.2 Definitie operational audit Het begrip ‘operational audit’ is slecht gedefinieerd en is zeker niet eenduidig; in de literatuur komen verschillende definities voor van het begrip operational audit. Na bestudering van de verschillende definities hebben wij een keuze gemaakt voor de volgende definitie: “Operational auditing is een objectief onderzoek naar het functioneren van het management control systeem van een organisatie, gericht op de realisatie van de strategie van de organisatie, met als oogmerk het geven van additionele zekerheid en het waar nodig geven van adviezen ter verbetering”. (L. Paape 1999) In deze definitie blijft het niet bij een oordeel (additionele zekerheid), maar kunnen ook adviezen ter verbetering het resultaat zijn van de audit.

2.2.3 Analyse definities De definitie van operational audit is zo ruim geformuleerd dat de definitie van IT audit hierin past. De objecten die voor IT audit worden onderscheiden hebben als gemeenschappelijk kenmerk dat ze betrekking hebben op de (organisatie van de) informatievoorziening in een omgeving waar gebruik wordt gemaakt van informatieen communicatietechnologie. Deze organisatie maakt onderdeel uit van een bedrijfshuishouding en daarmee ook van de management control cyclus.

6

Van Praat, J. C.& Suerink J.M., Inleiding EDP-auditing (2004)

9

2.3

Opleiding IT auditor versus operational auditor

2.3.1 Algemene opleidingsinformatie De Postgraduate IT Audit Opleiding van de vrije Universiteit amsterdam.7 De IT Audit Opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam is een in 1986 opgerichte wetenschappelijke opleiding. De doelstelling van deze studie is het opleiden van studenten om (zelfstandig) onafhankelijke en onpartijdige beoordelingen uit te voeren op, dan wel te adviseren over, operationele systemen en systemen in ontwikkeling. Afhankelijk van de vooropleiding duurt de opleiding 2 jaar of 2 ½ jaar. De beide operational auditopleidingen aan: • de postinitiële masteropleiding Internal/Operational auditing aan de Erasmus School of Accounting & Assurances en • de opleiding Executive Master of Internal Auditing (EMIA) van de Amsterdam Business School. zijn wetenschappelijke opleidingen. De doelstelling van deze studie is het opleiden van studenten om (zelfstandig) onafhankelijke en onpartijdige beoordelingen uit te voeren hoe processen en activiteiten worden uitgevoerd en op welke wijze daarin verbeteringen kunnen worden aangebracht.

De postinitiële masteropleiding Internal/Operational auditing aan de Erasmus School of Accounting & Assurances (ESAA).8 De reguliere opleiding voor operational auditor duurt 2 jaar. Kandidaten met een opleiding Accountancy (tot en met het theoretische examen), IT auditing of de opleiding tot Register Controller kunnen de opleiding internal/operational auditing in één jaar afronden.

De opleiding Executive Master of Internal Auditing (EMIA) van de Amsterdam Business School. 9 De internal audit opleiding aan de UvA duurt 2 jaar. In tegenstelling tot de opleiding in Rotterdam is het bij de UvA niet mogelijk om een kopjaar van één jaar te volgen op de internal audit opleiding.

2.3.2 Specifieke opleidingsinformatie Wij hebben de aangeboden lesstof van de 3 hiervoor genoemde universiteiten met elkaar vergeleken. Hierbij hebben wij het opleidingsmateriaal van de IT auditopleiding aan de VU(2006-2008) vergeleken met opleidingsbrochures van de operational audit opleidingen aan de ESAA en de UvA. 7 8 9

Bron: brochure van de Postgraduate IT Audit Opleiding Bron: Internet site www.esaa.nl Bron: Internet site www.abs.uva.nl

10

In Bijlage 1 staan de opleidingsmodules van de beide operational audit opleidingen en die van de VU verder uitgewerkt.

2.3.3 Analyse opleidingen Bij de bestudering van de verschillende opleidingsmodules valt op dat er van de lesstof die gedoceerd wordt aan de VU veel overlap bestaat met de lesstof die gedoceerd wordt aan de beide operational auditopleidingen aan de ESAA en de UvA. Hierbij gaat het met name om inrichting en audit van beheer van IT en ITGovernance. Bij de IT auditopleiding op de VU wordt aandacht besteed aan niet IT gerelateerde onderwerpen zoals management en organisatie, strategie, leiderschap en cultuur, verandermanagement en emotiemanagement. Dit zijn ook de lesstof onderdelen die aan beide operational auditopleidingen worden gegeven. Het gaat om de volgende lesstof; • • • • • • • •

Bestuurlijke informatievoorziening (Starreveld) Auditvaardigheden (methodologie) Inrichting en audit van beheer van IT (Cobit, ITIL) Beroepsuitoefening, Ethiek Management en organisatie, strategie, leiderschap en cultuur Risico management Financiële analyse, verslaglegging in geautomatiseerde omgevingen Verandermanagement en emotiemanagement

Bij de VU worden de opleidingsmodules Bestuurlijke informatie verzorging (Starreveld) en Auditvaardigheden wel uitgebreider gedoceerd. Het verschil komt tot uiting in de totale opleidingsduur. Aan de UvA en de EESA duurt de opleiding voor operational auditor normaal 2 jaar. De IT auditopleiding aan de VU duurt normaal 2 ½ jaar. Wij hebben geen overlap vast kunnen stellen ten aanzien van de volgende modules die aan de VU worden gedoceerd; • • •

2.4

Techniek en audit van platformen Techniek en audit van datacommunicatie Specifieke IT technieken en applicaties

Objecten van onderzoek

Objecten zijn de feitelijke ‘grootheden’ die, gegeven de opdracht, bij een IT audit of een operational audit worden onderzocht. Ondanks het feit dat het aantal te onderkennen auditobjecten oneindig groot is, dient een object duidelijk en ondubbelzinnig te worden afgebakend en gedefinieerd. De afbakening en definiëring van het object moeten daarom bij de gangbare praktijk aansluiten en in samenspraak met de opdrachtgever worden bepaald.

11

2.4.1 IT audit objecten Een IT audit object is een structuur, proces of product in een bepaalde fase, dienstbaar aan de informatievoorziening in een omgeving waar gebruik gemaakt wordt van automatisering.10 De auditobjecten die de IT auditor onderzoekt kunnen volgens van Praat en Suerink worden opgedeeld in drie clusters. Deze clusters zijn: • • •

Organisatie van de informatievoorziening (de organisatorische processen) De informatiesystemen en systeemontwikkeling Technische infrastructuur De verschillende auditobjecten zijn vervolgens opgenomen in auditdomeinen. Per auditdomein is specifieke deskundigheid nodig. De NOREA heeft zes auditdomeinen opgesteld waardoor een uniform raamwerk ontstaat voor het uitvoeren van IT-audits. Deze auditdomeinen zijn:

• • • • • •

Informatiestrategie Informatie/Informatie technologie management Informatiesystemen Technische systemen Processystemen Operationele automatiseringsondersteuning.

2.4.2 Operational audit objecten De onderzoeksobjecten van de operational auditor worden afgeleid van de management control cyclus. Beheersing ofwel control is het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt. Deze beheersmaatregelen kunnen betrekking hebben op: •

de te bereiken resultaten: het stellen van doelen en het bewaken van de realisatie daarvan aan de hand van informatie;

•

de wijze waarop de resultaten moeten worden bereikt: het geven van richtlijnen voor de inrichting van het control-systeem en het bewaken van de werking en naleving daarvan.

In figuur 1 is deze visie op control schematisch weergegeven aan de hand van de managementcyclus. De nadruk ligt op het cyclisch karakter.

10

(Jan van Praat, Hans Suerink inleiding edp-auditing)

12

Figuur 1 De Management Control Cyclus

Met de management control cyclus als uitgangspunt kan de audit zich bijvoorbeeld richten op de volgende objecten: • •

•

De ‘bollen’ als proces (proces audits): Is het uitvoeringsproces conform de inrichtingsvereisten? Vindt het evaluatieproces plaats zoals bedoeld? De uitkomsten van het in de bollen geformuleerde proces: Hoe betrouwbaar is de management (of de verantwoordings-)informatie? (productaudits) In welke mate is het resultaat van de uitvoering conform de gestelde doelen? (performance toets) De pijlen, ofwel de relatie tussen de bollen: Is de vertaling van het beleid naar de inrichting in lijn met de doelstelling/het beleid (systeemtoets); en binnen de door het hoger management gestelde kaders (tight control audits)?

De hiervoor genoemde audits gaan uit van een statische situatie. Echter onder invloed van veranderingen in de omgeving ontwikkelt de inhoud van de management control cyclus van een organisatie zich in de tijd. Om deze ontwikkeling in goede banen te leiden maakt de organisatie gebruik van veranderingsprocessen, projecten en programma’s. Behalve op onderdelen van de management control cyclus kan de audit zich bijvoorbeeld ook richten op projecten (projectaudits), of op de veranderprocessen (audits gericht op het verandervermogen of op de nieuwe inrichting als uitkomst van het veranderproces).

2.4.3 Analyse onderzoeksobjecten De aandachtsgebieden aan de randen van zowel IT- als operational audit lopen in elkaar over. Indien de IT audit aanpak van de IT auditor zich meer gaat richten op de inrichting en de beheersing van de IT dan op de technische details van de IT betekent dit dat er sprake zal zijn van overlap in de auditobjecten. Naarmate organisatie-inrichting en IT-gebruik verder met elkaar verweven raken zijn beide auditvormen nauwelijks meer van elkaar te scheiden.

13

2.5

Kwaliteitsaspecten

Bij een audit kan het te onderzoeken object vanuit één of meerdere invalshoeken worden beoordeeld. De invalshoek wordt aangeduid als het kwaliteitsaspect.

2.5.1 IT audit kwaliteitsaspecten De IT auditor dient bij de bepaling van de reikwijdte van zijn opdracht aandacht te besteden aan de te hanteren kwaliteitsaspecten. Voor de IT audit aspecten sluiten wij aan bij een aantal kwaliteitsaspecten zoals deze gedoceerd worden aan de VU. Belangrijke kwaliteitsaspecten voor de IT-auditor zijn: Vertrouwelijkheid Hiermee wordt bedoeld dat gegevens alleen toegankelijk dienen te zijn voor personen die daartoe gerechtigd zijn. Integriteit Integriteit is een synoniem voor betrouwbaarheid. Hiermee wordt bedoeld dat gegevens juist, tijdig en volledig dienen te zijn. Controleerbaarheid De mate waarin is vast te stellen dat de informatieverwerking is uitgevoerd in overeenstemming met de hiervoor geldende doelstellingen. Beschikbaarheid Er dienen waarborgen te zijn dat informatie beschikbaar is wanneer vereist. Effectiviteit De mate waarin een object bijdraagt aan de organisatiedoelstellingen en de mate waarin een object in overeenstemming is met de eisen en doelstellingen van de gebruikers. Efficiency Het bereiken van de organisatiedoelstellingen tegen zo laag mogelijke kosten. Het definiëren en verklaren van kwaliteitsaspecten is nodig om de scope van de audit voldoende te kunnen afbakenen. Het is ook mogelijk dat één object op meerdere kwaliteitsaspecten wordt onderzocht. Dit wordt een Multi-aspect audit genoemd. 2.5.2 Operational audit De kwaliteitsaspecten die bij de auditobjecten ten aanzien van de operational audit in ogenschouw genomen worden zijn volgens Driessen en Molenkamp onuitputtelijk. De auditor dient inzicht te hebben in alle mogelijke kwaliteitsaspecten van het onderzoeksobject zoals doelstellingen, kaders, producten, thema’s enz. Ook moet hij op de hoogte zijn van de invloed die de verschillende kwaliteitseisen hebben op de mogelijkheden om een effectieve en efficiënte beheersing te kunnen realiseren. Beheersbaarheid, nader onderverdeeld in effectiviteit en efficiency zijn in de

14

literatuur de meest genoemde kwaliteitsaspecten. Daarnaast wordt ook betrouwbaarheid genoemd als kwaliteitsaspect inzake de managementinformatie. De operational auditor kan pas een uitspraak doen over effectiviteit en efficiency van beheersmaatregelen wanneer de betrouwbaarheid van de informatie waarop de manager zich baseert in voldoende mate is gewaarborgd*11 2.5.3 Analyse Kwaliteitsaspecten zeggen iets over de manier waarop de auditor naar het auditobject kijkt. Zowel voor operational audit als IT audit kunnen dezelfde kwaliteitsaspecten gebruikt worden. Ook voor de kwaliteitsaspecten geldt de materiedeskundigheid van de auditor, deze dient over voldoende kennis te beschikken om een uitspraak over de kwaliteitsaspecten te doen.

2.6. Toetsingsnormen Naast de specificatie van het auditobject (paragraaf 2.4) en één of meerdere kwaliteitsaspecten (paragraaf 2.5) wordt de scope van de audit afgebakend door middel van de definitie van de toetsingsnormen. De toetsingsnormen zijn altijd gekoppeld aan het auditobject. Norm: een richtpunt waaraan een specifiek onderdeel van het auditobject moet voldoen. In die zin is een norm te beschouwen als de meest gepreciseerde eenheid van toetsing. Daarbij moet worden bedacht dat op een auditobject doorgaans meerdere normen van toepassing zijn. (Bron: Norea studierapport 3) Om vast te stellen of er sprake is van overlap in de gehanteerde toetsingsnormen hebben wij in de literatuur gezocht naar referentiemodellen, baselines, best practices en normenkaders welke gebruikt worden door operational auditors en IT auditors. Van hier uit kunnen de IT auditors en de operational auditors het objectspecifieke normenstelsel samenstellen. Het toesnijden van de normen op het object van onderzoek moet door de IT auditor en de operational auditor in het ‘veld’ plaatsvinden en worden geaccepteerd en goedgekeurd door de opdrachtgever.

2.6.1 Toetsingsnormen voor beide auditdisciplines Normen vormen een essentieel element in de ‘gereedschapskist’ van de IT auditor en operational auditor. Hieronder noemen wij een drietal normen waarvan wij denken dat die door beide auditdisciplines kunnen worden gehanteerd;

•

Starreveld /Bestuurlijke informatieverzorging;

Het door Starreveld in de vijftiger jaren ontworpen typologiemodel had als doel de grote verscheidenheid aan huishoudingen terug te brengen tot een overzienbaar aantal grondtypen. Uitgangspunt bij de indeling van dit model is de opzet van de 11

Managementkundige benadering van internal auditing AJG Driessen A.Molenkamp.

15

administratieve organisatie en interne controle (AO/IC) ter waarborging van de volledigheid van de opbrengstverantwoording en de juistheid van de kosten.

•

COSO/ERM;

COSO is een managementmodel dat is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit comité, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van interne controle en interne beheersing. In 1994 is daar nog een aanvulling op gekomen en werd dit samengevoegd in het COSO-rapport. Dit rapport is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het interne controlesysteem. In 2004 werd het model geactualiseerd, werden elementen toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Enterprise Risk Management Framework (ERMF). (Bron wikipedia). Enterprise Risk Management is een proces vanuit de directie, het management en ander personeel dat wordt toegepast op strategisch niveau in de gehele organisatie en ontworpen is om potentiële risico’s te identificeren en te managen binnen de risico-aversiteit van de onderneming, om zorg te dragen voor “reasonable assurance” om de doelstellingen van de organisatie te kunnen realiseren.

•

Wet- en regelgeving;

Wet en regelgeving welke van toepassing is op het object van operational audit of IT audit. Een voorbeeld hiervan is de Wet Bescherming Persoonsgegevens.

2.6.2 Toetsingsnormen voor IT audit Normen vormen een essentieel element in de ‘gereedschapskist’ van de IT auditor. In uitingen zal de IT auditor zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. (Bron: Norea studierapport 3) De IT auditor moet op basis van de specifieke eigenschappen van een IT-object een concreet normenstelsel met toetsingsnormen formuleren. Daarbij kan de IT auditor gebruik maken van referentiekaders welke worden afgeleid van onderstaande best practices, zoals:

•

De Code voor Informatiebeveiliging: (ISO/IEC 17799:2005, IDT)

De Code voor Informatiebeveiliging is de Nederlandse versie van de British Standards 7799, ofwel BS 7799, die later als ISO/IEC 17799 als internationale standaard voor informatiebeveiliging in organisaties is gepubliceerd. De Code voor Informatiebeveiliging bestaat uit twee delen: een norm (NEN ISO 27001, voorheen BS 7799-2) en een 'code of practice' (NEN ISO 17799:2005), deze gaat in de toekomst NEN ISO 27002 heten). Certificering gebeurt tegen de norm, de 'code of

16

practice' geeft handreikingen voor de implementatie van maatregelen in de organisatie. De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. De Code wordt uitgebracht door het Nederlands Normalisatieinstituut (NEN). (Bron wikipedia).

•

De Control Objectives for Information and Related Technology (CobiT);

Control Objectives for Information and related Technology (COBIT) is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. CobiT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). COBIT stelt IT managers in staat om op basis van algemeen geaccepteerde Best Practices de ICT beheermaatregelen in te richten. Daarnaast kunnen auditors op basis van het framework hun controleprogramma beschrijven en uitvoeren. (bron wikipedia)

•

De IT Infrastructure Library (ITIL);

De afkorting ITIL staat voor Information Technology Infrastructure Library. ITIL is ontwikkeld door de Britse overheid, in een periode dat geautomatiseerde informatievoorziening een steeds belangrijker rol ging innemen en de prestatie van de (interne en externe) dienstverlening te wensen overliet. In een initiatief om de kwaliteit van die dienstverlening te verbeteren werd een inventarisatie gehouden van de gangbare werkwijzen met de bedoeling de aangetroffen 'best practices' te publiceren. ITIL is een belangrijk referentiekader voor veel IT-organisaties bij het streven naar kwaliteitsverbetering. In ITIL is een aantal processen op zowel tactisch als operationeel niveau gedefinieerd die van belang zijn bij het beheer van ICTvoorzieningen.

2.6.3 Toetsingsnormen voor operational audit Ook bij een operational audit vormen normen een essentieel element in de ‘gereedschapskist’ van de operational auditor. De operational auditor moet zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. De operational auditor moet op basis van de specifieke eigenschappen van een operational auditobject een concreet normenstelsel met toetsingsnormen formuleren. Daarbij zal de operational auditor in hoofdzaak gebruik maken van de referentiekaders, zoals:

•

INK-managementmodel;

Het INK-managementmodel (Instituut Nederlandse Kwaliteit) is ontstaan vanuit de vraag van veertien presidenten van grote multinationals wat succesvol ondernemen is, zeker ook vanuit mondiaal perspectief. Het EFQM (European Foundation for Quality Management )Excellence model en het INK-managementmodel zijn daarvan het gevolg.

17

De visie achter het INK-managementmodel heeft betrekking op het continu streven naar het balanceren tussen diverse stakeholders van de organisatie, het balanceren tussen de resultaten en de inspanningen die daarop betrekking hebben en voortdurend werken aan (kwalitatieve) groei. Dit, om – in een veranderende omgeving met veranderende eisen en wensen – blijvend goede prestaties neer te zetten. De kern van de INK-filosofie wordt gevormd door het werken aan de samenhang en groei op de negen aandachtsgebieden van het model; 1. Leiderschap 2. Strategie en Beleid 3. Management van medewerkers 4. Management van middelen 5. Management van processen 6. Klanten en leveranciers 7. Medewerkers 8. Maatschappij 9. Bestuur en financiers managementmodel dat een Nederlandse variant van het EFQM Business Model is. (Bron www.ink.nl 15012008)

•

KAD plus-model;

In 1992 verscheen de eerste druk van het boek Kwaliteit Administratieve Dienstverlening (KAD) van de hand van Peter Hartog, Arie Molenkamp en Jan Otten. Het KAD-model was oorspronkelijk bedoeld als een inrichtingsmodel voor managers met operational control als focus. KAD plus is een model voor de inrichting en beheersing van organisaties. Centraal daarbij staat het management controlsysteem van de organisatie. In de praktijk wordt het KAD plus model zowel gebruikt om het management controlsysteem vorm te geven als om het te beoordelen door middel van audits. (verwijzing van www.auditing.nl naar www.kadplus.nl)

•

ABIB;

Het NIVRA heeft het Analyse- en Beoordelingsinstrument Interne Beheersing (ABIB) ontwikkeld. Dit hulpmiddel stelt ondernemers, al dan niet met behulp van interne en/of externe accountants, in staat om een analyse te maken van de effectiviteit van het eigen interne beheersingssysteem. De kern hiervan bestaat uit een vragenlijst waarmee de onderneming een analyse kan uitvoeren. ABIB wil inzicht geven in de volgende vraagstukken: •

Hoe gaat de onderneming om met de interne en externe risico’s die het realiseren van de organisatiedoelstellingen in de weg staan?

•

Hoe zorgt de onderneming ervoor dat datgene wat moet gebeuren ook daadwerkelijk wordt uitgevoerd?

•

Hoe waarborgt de onderneming dat de informatie die nodig is om werkzaamheden goed uit te voeren bij de juiste personen aanwezig is en wordt gebruikt?

•

Hoe zorgt de onderneming ervoor dat de werkprocessen tot de gewenste effectiviteit en efficiëntie leiden?

18

Hoe kan de onderneming er zeker van zijn dat zij op de juiste wijze wordt bestuurd?

•

Door beantwoording van deze vragen en een analyse van de antwoorden kan men vervolgens zelf vaststellen welke verbeteringen gerealiseerd kunnen worden.

2.6.4 Analyse van toetsingsnormen Ook vanuit de hiervoor genoemde kwaliteits- of toetsingsnormen kan worden geconcludeerd dat er niet alleen overlappingen aanwezig zijn, maar ook aanvullingen. De aanvullingen betreffen met name vaktechnische kwaliteits- of toetsingsnormen. Bij de overlappingen zal de IT auditor zich expliciet richten op de IT-organisatie. De operational auditor zal zich meer richten op de “soft controls” (bron: auditing.nl) binnen de organisatie.

2.7

Het audit proces

2.7.1 IT audit proces Met betrekking tot het IT auditproces kunnen de volgende fasen12 worden onderscheiden: Fase 1: Voorbereiden van het onderzoek. 1.1 Vooronderzoek Wordt ingesteld om duidelijkheid te krijgen over de objecten en aspecten die beoordeeld moeten worden en wat de kwaliteit is van de controleomgeving. 1.2 Opdrachtverstrekking/-acceptatie. Na het vooronderzoek wordt de opdrachtformulering ter goedkeuring aan de opdrachtgever voorgelegd. Hierin worden doel, scope kwaliteitsaspecten, mate van zekerheid, toegepaste uitvoeringsstandaarden, budget, tijdbesteding, doorlooptijd en mogelijke teamsamenstelling opgenomen. Fase 2: Uitvoeren van het onderzoek. 2.1 Initiële beoordeling. Beoordeling van alle beschikbare gegevens en het opstellen van een auditplan. 2.2 Bepalen/vaststellen van het toe te passen normenstelsel (‘soll-positie’). Welke norm dient te worden gehanteerd, wat zou verwacht mogen worden? 2.3 Vaststellen van de feitelijke situatie (‘ist-positie’). Door middel van documentatiestudie, interviews, gegevensgerichte controle e.d. vaststellen van de werkelijke situatie. 2.4 Confronteren ‘soll-positie’ versus ‘ist-positie’. Hier wordt de werkelijkheid vergeleken met de norm. 2.5 Evalueren en oordeelsvorming. Hierbij worden conclusies getrokken uit de vergelijking van de werkelijkheid met de norm.

12

Norea studierapport nr. 3

19

Fase 3: Afronden van het onderzoek. 3.1 Opstellen rapportage. Hierin dienen alle onderzoeksfasen teruggekoppeld te worden. 3.2 Evalueren van het onderzoek. Evaluatie van het onderzoek om de kwaliteit van het auditproces continue te kunnen verbeteren.

2.7.2 Operational audit proces Voor het operational audit proces willen we aansluiten op het auditraamwerk13 uit het handboek accountancy. De operational (MC) -auditor neemt bij het ontwerp van de audit besluiten van conceptuele en technische aard. Het betreft beslissingen over de onderzoekseenheden en de eigenschappen die moeten worden onderzocht. Naast deze conceptuele of inhoudelijke aspecten stelt de auditor zich de vraag hoe, waar en wanneer, de auditgegevens (evidence) moeten worden verzameld en op welke wijze kan worden gewaarborgd dat een valide en betrouwbaar beeld van de werkelijkheid wordt verkregen. De antwoorden op deze vragen leveren het technisch ontwerp van de audit op. Zie het hierna vermelde auditraamwerk in figuur 2. .

figuur 2 (Otten et al, 2003). Het auditraamwerk Bij de auditcontext is vooral de vraag welke auditvorm gekozen dient te worden (probleemsignalerend, diagnostisch of oplossingsgericht.) Naast de auditvorm wordt in de doelstelling globaal ingegaan op het auditobject en de optiek waarmee het object door de auditor zal worden benaderd. Het auditobject is het onderwerp (proces, organisatieonderdeel, thema, enz. ten aanzien van de management control cyclus) dat de auditor bestudeert en waarover hij op basis van zijn onderzoek uitspraken doet.

13

(Otten et al 2003)

20

Van belang is verder dat in de auditdoelstelling wordt aangegeven waarom de opdrachtgever de audit wenst te laten uitvoeren en wat hij met het auditresultaat voor heeft14. Het auditmodel beschrijft de wijze waarop de doelstelling dient te worden bereikt. Hierbij wordt apart ingegaan op de nadere omschrijving (afbakening) van het object, de onderzoekoptiek (ofwel de wijze waarop het object zal worden beoordeeld, de beoordelingscriteria die worden gehanteerd) en de referentiemodellen die worden gebruikt om die optiek te vormen. De auditstrategie beschrijft onder andere wat, gezien de doel- en vraagstelling de gewenste breedte of diepgang van de audit is. Bij het onderdeel auditmateriaal moet worden bepaald: • • •

wat per vraag de relevante objecten zijn (bijvoorbeeld persoon of een proces) en soorten informatie. per object/soort informatie welke bronnen nodig zijn (bijvoorbeeld persoon, documentatie en de werkelijkheid) per bron de te hanteren ontsluitingsmethode (bijvoorbeeld interviews, waarneming) Bij de gegevensverwerking worden de verzamelde gegevens verwerkt. Hierbij worden de onderzoeksvragen (beoordelingscriteria) geplaatst met vermelding van de bronnen. In een later stadium worden de onderzoeksresultaten hierbij vermeld. Een plan van aanpak (planning) is het resultaat van de voorbereiding van de audit. Voordat gestart wordt met de uitvoering zal dit plan van aanpak met het auditontwerp ter accordering worden voorgelegd aan de opdrachtgever. Het onderzoek wordt afgesloten met een rapportage.

2.7.3 Analyse audit proces De bij IT audit te onderscheiden fasen voorbereiden, uitvoeren en afronden treffen we ook aan bij operational audit. Ze worden alleen anders genoemd in het hiervoor uitgelegde operational audit raamwerk. Het auditproces bij IT audit en operational audit vindt nagenoeg op dezelfde wijze plaats. Er is dus sprake van overlap.

14

Bron handboek accountancy A1040

21

3.

DE PRAKTIJK

3.1

Inleiding

Om onze onderzoeksvraag te toetsen aan de praktijk hebben wij een aantal interviews afgenomen bij interne auditdiensten van verschillende organisaties. Wij hebben daarnaast een aantal interne auditdossiers gereviewd van operational audits en IT audits. Door het reviewen van de auditdossiers hebben wij onze onderzoeksvraag in de praktijk kunnen toetsen. Uitgangspunt bij onze keuze van de volgende acht organisaties was dat wij verschillende branches wilden onderzoeken. Ook wilden wij rekening houden met spreiding over de sectoren overheid, beursgenoteerde vennootschappen en nonprofitorganisaties. In de eerste opzet van ons praktijkonderzoek wilden we de volgende bedrijven bezoeken voor interviews en dossierreviews;

Financiële dienstverlening Commerciële organisatie

Organisatie Ministeries van Justitie en Financiën FORTIS en ING AHOLD en AKZO

Non-profitorganisaties

Cordares en GBF

Branche Algemene dienstverlening

Soort organisatie Overheid Bank / beursgenoteerd Handel en Industrie / beursgenoteerd Pensioen uitvoeringsorganisatie met een SAS70 verklaring

Voor het afnemen van de interviews hebben wij een vragenlijst opgesteld met 18 vragen (zie bijlage 4). Voor de dossierreviews hebben wij gebruik gemaakt van een door ons opgesteld reviewformulier (zie bijlage 5 ). Nadat wij een afspraak hadden gemaakt bij het Ministerie van Justitie voor ons eerste interview hebben wij de vragenlijst met interviewvragen en het raamwerk voor de dossierreviews naar de contactpersoon (zie bijlage 2) verzonden. Tijdens ons eerste interview bleek echter dat de doorlooptijd van het maken van afspraken, het afnemen van de interviews, het uitwerken van de interviews en de terugkoppeling van de door ons gemaakte interviewverslagen problemen zou gaan opleveren gezien het strakke tijdschema van de opleiding. Om het onderzoek naar de praktische invulling van de auditdisciplines IT audit en operational audit uitvoerbaar te maken binnen de beschikbare tijd is door ons een keuze gemaakt om het aantal organisaties te verminderen. Ten behoeve van de scriptie is er uiteindelijk onderzoek uitgevoerd naar de praktische invulling van de auditdisciplines IT audit en operational audit bij een viertal organisaties. Branche Algemene dienstverlening Financiële dienstverlening Commerciële organisatie

Organisatie Ministeries van Justitie FORTIS en ING AHOLD

Soort organisatie Overheid Bank / beursgenoteerd Handel en industrie / beursgenoteerd

22

Nadat wij afspraken hadden gemaakt voor de interviews bij de overige drie organisaties hebben wij de vragenlijst met interviewvragen en het raamwerk voor de dossierreviews naar de contactpersonen verzonden. Door het van te voren toesturen van de vragenlijst met interviewvragen en het raamwerk voor de dossierreviews konden de contactpersonen zich voorbereiden op onze komst. Na een kort kennismakingsrondje, waarin wij onder andere ons scriptie onderwerp, doelstelling en onderzoeksvraag hebben toegelicht, werd vanuit de kant van de betrokken organisatie een korte presentatie gegeven over de rol van de interne auditdienst. Omdat effectief risicomanagement steeds belangrijker wordt voor een goede bedrijfsvoering is bij drie van de vier organisaties het Risk Management Framework uitgewerkt. Met het principe van ‘three lines of defence’ houden deze organisaties een robuust intern beheersingssysteem in stand. Hierbij hanteren deze organisaties bij uitvoering van het risicomanagement het hieronder aangegeven principe van ‘three Lines of defence’. Kern van het principe is dat verscheidene elkaar versterkende interne beheersingsfuncties bestaan die onafhankelijk van elkaar functioneren, waarbij elke functie een eigen bijdrage levert aan de kwaliteit van het interne beheersingssysteem. Het hanteren van het principe van ’three lines of defence’ stelt deze organisaties in staat om een robuust intern beheersingssysteem in stand te houden. Hierbij wordt de interne controlefunctie zoveel mogelijk in de lijn gelegd (1st line of defence). Het management wordt daarbij ondersteund door monitoring functies. Dit zijn staffuncties zoals interne controle, riskmanagement en compliance (2nd line of defence). De Interne auditdienst levert extra assurance bij de kwaliteit van de opzet van het beheersingssysteem en de werking daarvan (3rd line of defence). De taak van de Departementale Auditdienst bij het Ministerie van Justitie is om toe te zien op de effectiviteit en efficiency van de bedrijfsvoering en de rechtmatigheid van de uitgaven en ontvangsten van het Ministerie (controleert het financiële jaarverslag). De capaciteit van de interne auditdiensten van de vier organisaties varieerde van 50 formatieplaatsen tot meer dan 670 formatieplaatsen wereldwijd. Aan het hoofd van de interne auditdiensten stonden een RA/RE, een RO, een RA/RE en een CPA/CIA/CISA. De vier organisaties die wij hebben bezocht hebben operational auditors en IT auditors in dienst die onder andere waren opgeleid of nog werden opgeleid op de universiteiten van de VU, de ESAA en de UvA. Vervolgens zijn de interviewvragen doorgenomen en werden wij in de gelegenheid gesteld om nog aanvullende vragen te stellen. Daarna konden wij kennisnemen van in de praktijk uitgevoerde audits aan de hand van een aantal interne auditdossiers van operational audits en IT audits. De gemiddelde tijdsduur van de interviews en de dossierreviews was 1 hele dag. Nadat de interviews waren afgenomen zijn door ons hiervan gespreksverslagen opgesteld en zijn deze interviewverslagen teruggekoppeld met de geïnterviewde personen.

23

Uit deze interviews is een selectie gemaakt van voor het onderzoek van belang zijnde gegevens. Dit betekent dat niet alle beschikbare gegevens uit de interviews integraal zijn overgenomen in de scriptie. Onze bevindingen ten aanzien van het praktijkonderzoek koppelen we hierna terug met de deelvragen van onze onderzoeksvraag uit hoofdstuk 1.4. De eerste deelvraag van onze onderzoeksvraag is beantwoord in hoofdstuk 2. Wat verstaan we onder operational audit en wat onder IT audit.

3.2 Wat is de meest voorkomende plaats in de organisatie van operational auditors en IT auditors en hoe is mogelijke samenwerking georganiseerd? De interne auditdiensten van drie van de vier organisaties die wij hebben bezocht zijn allen vlak onder de hoogste ondernemingsleiding gepositioneerd en hebben daardoor een onafhankelijke positie. Deze interne auditdiensten rapporteren rechtstreeks aan het Audit Committee. De rol van het Audit Committee is om de Raad van Bestuur bij te staan in zijn toezichthoudende taken met betrekking tot de interne controle binnen deze organisaties. De interne auditdiensten van deze organisaties opereren vanuit Nederland. Ook de controles in het buitenland worden vanuit Nederland geïnitieerd. De Departementale Auditdienst bij het Ministerie van Justitie ressorteert rechtstreeks onder de plaatsvervangend Secretaris-Generaal die is belast met de 'bedrijfsvoeringportefeuille’ waardoor het binnen het ministerie een onafhankelijke positie inneemt en rechtstreeks rapporteert aan de hoogste leiding. De operational auditors en IT auditors zitten fysiek bij elkaar in de buurt gehuisvest en vaak ook samen op één kamer. Dit wordt gedaan om de kennisuitwisseling tussen de twee auditdisciplines te bevorderen. Bij alle organisaties worden de audits meestal door auditteams uitgevoerd. Bij het uitvoeren van de audits wordt in de voorbereiding bepaald welke auditdisciplines nodig zijn voor de uit te voeren audit. Zowel de IT auditors als de operational auditors worden dus bij de pre-planningsfase betrokken om vast te stellen wat de optimale samenstelling is van het auditteam. Wanneer er sprake is van een audit waarbij de nadruk ligt op de IT dan is de projectleider meestal een IT auditor. Zowel de IT-audit als de operational auditdiscipline voeren ook zelfstandig audits uit. Drie van de vier organisaties die wij hebben bezocht hebben de beschikking over één auditmethodologie die voor IT audits en operational audits hetzelfde is. Door het auditten in teams met verschillende disciplines en gebruikmakend van één auditmethodologie vinden er veel integrated audits15 plaats. Integrated audits zijn wij bij het reviewen van de auditdossiers ook tegengekomen. 15

Er is nog geen algemeen aanvaarde definitie van integrated audit. Wij nemen de definitie over uit een referaat van M Hamilton welke is gepubliceerd op de website Auditing.nl en luidt als volgt: Integrated auditing is een auditconcept waarin de auditdisciplines financial audit, operational audit en IT audit in één team min of meer op voet van gelijkwaardigheid vanuit meerdere invalshoeken één geïntegreerd oordeel vormen over het object van van audit en eventueel geïntegreerde adviezen verstrekken. Hierbij willen wij aantekenen dat in het kader van onze scriptie financial audit buiten beschouwing is gebleven.

24

Bij de Departementale Auditdienst bij het Ministerie van Justitie is voor de afzonderlijke disciplines RE/RO nog geen beleid of taakopdracht geformuleerd. De keuze voor een RE of RO is afhankelijk van de vraagstelling (type opdracht). Hier zijn geen regels voor. Wanneer sprake is van een audit waarbij de nadruk ligt op de IT dan is de projectleider meestal een IT auditor. Door het auditten in teams met verschillende disciplines vinden er veel integrated audits plaats.

3.3

Welke auditopdrachten worden er uitgevoerd door deze auditdisciplines?

Voor de auditprogrammering stellen de interne auditdiensten van drie van de vier organisaties auditplannen op. Deze voortschrijdende auditplannen hebben per organisatie een variabele tijdsduur van 1 t/m 4 jaar. De auditplannen worden voorgelegd en goedgekeurd door het auditcommittee. Deze auditplannen worden als volgt samengesteld. Het gehele audit-universum wordt in kaart gebracht, nauw aansluitend bij het business-model zoals dat wordt gebruikt voor besturing en managementrapportage. Het audit universe wordt verder gedetailleerd naar zogenaamde auditable units. Dit is een unit die kan worden opgenomen in één audit opdracht. Met dit systeem is het mogelijk om de geplande taken en de daarbij behorende risico’s per business of enabler functie per juridische entiteit zichtbaar te maken. Hiervoor is een uniforme structuur voorgeschreven. Om de volledigheid van alle auditable units in de audit universe vast te stellen wordt de audit universe vergeleken met de beschrijving van de waardekringloop in de generieke business processen. Op basis van risico analyse waarbij strategische, tactische en operationele risico’s worden gewogen wordt op auditable unit niveau een auditplanning gerealiseerd. Uitgangspunt bij deze risicoanalyse zijn de generieke bedrijfsprocessen. Omdat elk proces meestal ook door een IT component wordt ondersteund maken de applicatieve controles impliciet deel uit van de auditplannen. De General IT controls worden afzonderlijk op basis van risico analyse in de auditplannen opgenomen. Om actuele ontwikkelingen niet te missen vindt er continous business screening plaats om eventueel de auditplanning bij te stellen. bijvoorbeeld door: • het monitoren van notulen van managementvergaderingen en/of • het monitoren van acquisities. In de bedrijfswereld en de financiële markten wordt de term voornamelijk gebruikt wanneer er sprake is van (bedrijfs)onderdelen die door een andere partij worden overgenomen. (Bron Wikipedia) Uitgevoerde opdrachten door de interne auditdiensten zijn onder andere: • het vormen van een oordeel over de toereikendheid van de interne beheersomgeving ten aanzien van de belangrijkste administraties, systemen en processen evenals het verrichten van onderzoek op het terrein van de naleving van wetten, regels en overige externe eisen. • het uitvoeren van procesaudits, projectaudits en technische audits.

25

Het verrichten van bijzondere onderzoeken behoort eveneens tot het takenpakket zoals : • een audit naar application controls. De IT auditor buigt zich over de aspecten als vertrouwelijkheid integriteit en beschikbaarheid. De operational auditor kijkt naar de effectiviteit en efficiency. • het uitvoeren van een IT audit. Alleen wanneer er sec een IT proces wordt beoordeeld. Zowel de externe accountant als de toezichthoudende instanties maken gebruik van het werk van de interne auditdienst. De Departementale Auditdienst (DAD) bij het Ministerie van Justitie is naast jaarrekeningcontrole veelal bezig met audits die gerelateerd zijn aan wettelijk opgedragen taken. Hiertoe voert de interne auditdienst diverse audits uit met als resultaat een rapport en in voorkomende gevallen, een advies ter verbetering van de gerapporteerde bevindingen. Tevens voert de DAD toezicht uit op de zelfstandige organisatieonderdelen van het Ministerie, omdat de Minister hiervoor eindverantwoordelijkheid draagt. Bij deze auditdienst werkt men klantgericht (klantgerichte clusters) en bij de uitvoering van audits wordt zoveel mogelijk geïntegreerd (geïntegreerde audit-benadering) en projectmatig gewerkt. Hierdoor kan de auditdienst haar audits, en dus ook haar eigen bedrijfsvoering, effectiever en efficiënter uitvoeren. Een geïntegreerde audit wordt aangepakt als zijnde een project. De RE’s binnen de DAD voeren geen technische audits uit. De DAD heeft de mogelijkheid om vanuit de EDP AUDIT POOL16 de RE capaciteit uit te breiden. Voor de auditprogrammering stelt de DAD een auditplan op dat wordt goedgekeurd door het auditcommittee. Daarnaast zijn er ook wel situaties waarin de waan van de dag bepaald wat de prioriteit heeft (politiek).

Dossierreviews Bij de door ons bezochte bedrijven hebben we een aantal audit dossiers gereviewd om onze onderzoeksvraag in de praktijk te kunnen staven. De volgende dossiers zijn door ons gereviewd: •

• •

•

•

Audit van een (nieuw) documentatie systeem.(integrated audit;) Het ging hier om applicatieontwikkeling en implementatie, conversie en het proces er omheen. Audit van een Shared Service Center (operational audit); Het ging hier om de beoordeling van een aantal processen. Audit van een applicatie (integrated audit) Het ging hier om applicatieontwikkeling, de aspecten ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid en het vaststellen of de applicatie voldeed aan de procesnormen(interne voorwaarden) Audit van een Point of Sale systeem (integrated audit); Verstrekken van aanvullende zekerheid ten aanzien van de beheersmaatregelen rondom dit point of sale systeem. Audit van general IT controls (IT audit); Audit op basis van de auditplanning naar opzet, bestaan en werking van general IT controls.

16

EDP AUDIT POOL is een interdepartementaal samenwerkingsverband van auditdiensten binnen de rijksoverheid op het gebied van controle en automatisering (IT-auditing).

26

Gehanteerde referentiekaders in de praktijk Tijdens de interviews is gevraagd naar de bij de audits gehanteerde frameworks, baselines of (afgeleide) normenkaders. In de tabel hieronder staan de referentiemodellen die genoemd zijn. Hierbij hebben we onderscheid gemaakt naar operational audit en IT audit. IT AUDIT COSO Prince 2 ten aanzien van projectmanagement Wet Bescherming Persoonsgegevens COBIT ITIL ABIB INK Code voor informatiebeveiliging

OPERATIONAL AUDIT COSO Prince 2 ten aanzien van projectmanagement Wet Bescherming Persoonsgegevens Strikwerda (Shared Service Center) KAD+ Balanced Scorecard COCO( Canada) Simons

De meeste referentiekaders die door ons zijn genoemd in paragraaf 2.6 toetsingsnormen voor beide auditdisciplines zijn in bovenstaande tabel terug te vinden. Wij hadden verwacht ABIB en INK aan te treffen bij operational audit. In plaats daarvan hebben wij die in de praktijk aangetroffen bij een door IT audit geïnitieerd onderzoek. Hiermee is de hypothese verworpen dat een referentiemodel aan een bepaalde auditdiscipline kan worden toebedeeld. Een best practice kan niet worden toegerekend aan een bepaalde auditdiscipline maar wordt gebruikt wanneer deze relevant is en of de auditor deze materie beheerst. Bij een van de vier organisaties waren de operationele IT-activiteiten uitbesteed aan derden. De interne accountantdienst van deze organisatie gebruikte voor de controle van de uitbestede operationele IT-activiteiten (de General IT controls) het normen(referentie)-kader/framework COBIT voor de auditwerkzaamheden.

3.4

Is er een best practice te onderkennen?

Wij hebben bij alle vier de organisaties een duidelijke beleidslijn waargenomen om integratie tussen de auditdisciplines IT audit en operational audit na te streven. Daarmee wordt de kans verkleind dat essentiële onvolkomenheden worden gemist. Integrated auditing is echter geen eenvoudige zaak. Rivaliteit moet worden overwonnen en in beton gegoten auditmethodes moeten worden aangepast en auditors van uiteenlopende statuur moeten bereid zijn tot goede samenwerking. Door het integreren van de auditdisciplines IT audit en operational audit is de verwachting dat deze auditdisciplines met elkaar gaan samenwerken. Dit betekent dus dat deze auditdisciplines elkaar moeten begrijpen en elkaar moeten respecteren. Indien de beide auditdisciplines IT audit en operational audit hiertoe bereid zijn kan er volgens ons een volledig geïntegreerde interne auditdienst ontstaan waarin maximaal gebruik kan worden gemaakt van de materiedeskundigheid van beide auditdisciplines.

27

Voor zover wij hebben kunnen waarnemen was bij alle vier de organisaties de bereidheid aanwezig, zowel bij het afdelingsmanagement als bij de medewerkers, om de integratie van de auditdisciplines IT audit en operational audit tot een succes te maken. Indien de bereidheid om samen te werken met andere auditdisciplines niet voldoende aanwezig is zal het succesvol integreren van auditdisciplines een lastig verhaal worden. Bij drie van de vier organisaties vormen de interne auditdiensten zich eerst een beeld over het functioneren van het risicobeheerssysteem in de organisatie. De contactpersonen hebben tijdens het interview aangeven dat vooral de integrale risicobenadering en het denken vanuit de organisatiedoelstellingen relevant zijn. De interne auditdiensten maken hierbij gebruik van één auditplan. Dit plan zich op de interne risicobeheersing in al haar aspecten. Hoewel de taak van de Departementale Auditdienst bij het Ministerie van Justitie niet gebaseerd is op risicobeheersing maakt ook deze interne auditdienst gebruik van één auditplan. Aan de hand van de auditplannen worden de IT auditors en operational auditors ingezet in wisselende teams, al naar gelang de aard van de te onderzoeken auditable unit. Het meest gebruikte hulpmiddel wat wij tijdens onze dossierreviews zijn tegengekomen is een uniforme dossiervorming over de auditdisciplines heen. Alle organisaties maakte gebruik van elektronische dossiers. Dit vergemakkelijkt het afdwingen van standaarden binnen de gevolgde auditaanpak en de standaardisering van dossiers over verschillende geografische locaties. In de praktijk zijn wij TeamMate en Auto-Audit tegengekomen.

3.5

Analyse

De interne auditdiensten van de organisaties die wij hebben geïnterviewd zijn allen vlak onder de hoogste ondernemingsleiding gepositioneerd. Zij hebben hierdoor een onafhankelijke positie in de organisatie. Uit het praktijkonderzoek is naar voren gekomen dat bij interne auditdiensten veel audits in teams worden uitgevoerd. Binnen deze teams werken IT auditors en operational auditors samen om naar een object van onderzoek te kijken en daar ieder vanuit zijn eigen materie deskundigheid een oordeel over te geven. In de interviews is ook duidelijk naar voren gekomen dat de auditobjecten steeds meer bepaald worden door een ondernemingsbrede risico managementkundige benadering. Uit de interviews en dossierreviews is gebleken dat er ten aanzien van de onderzochte auditdisciplines geen verschil is in de auditmethodologie. Het auditproces vindt op dezelfde wijze plaats. Er is veel overlap in auditobjecten. Alleen de materiedeskundigheid van de auditdisciplines verschilt.

28

4.

CONCLUSIES

4.1

Antwoord op de onderzoeksvragen

Vanuit onze theoretische beschouwing in hoofdstuk 2 hebben wij de volgende overlap geconstateerd:

Opleidingen IT audit op de VU en operational audit op UvA en EESA: Uit de opleidingsmodules van de universiteiten blijkt dat de operational audit opleidingen veel overlap vertonen met de lesstof die gedoceerd wordt aan de IT audit opleiding van de VU. Naast de overlappende modules wordt bij de IT audit opleiding aan de VU aandacht besteed aan de techniek van de automatisering. Bij de operational audit opleidingen wordt aandacht besteed aan management technieken en soft controls. Voorbeelden van soft controls zijn gedragsaspecten vanuit psychologie, sociologie en HRM.

Ten aanzien van onderzoeksobjecten, kwaliteitsaspecten en kwaliteits- of toetsingsnormen Zowel uit de theorie (hoofdstuk 2.4, 2.5, 2.6 en 2.7) als uit de praktijk (hoofdstuk 3) valt op te maken dat er overlap bestaat in de onderzoeksobjecten, kwaliteitsaspecten en kwaliteits- of toetsingsnormen van de IT auditor en operational auditor. Ook het audit proces is nagenoeg hetzelfde. IT maakt steeds meer onderdeel uit van de bedrijfsprocessen en is bij nieuwe toepassingen zelfs de enabler. Hierdoor is het voor de operational auditor niet meer mogelijk om een uitspraak te doen over deze processen zonder dat de IT component wordt beoordeeld. Vanuit ons praktijkonderzoek hebben wij de volgende overlap geconstateerd:

Interviews en dossierreviews Alle vier de bezochte bedrijven hebben een interne auditdienst. Zij staan alle vier een integrale auditbenadering voor. Operational auditors en IT auditors zitten fysiek dicht bij elkaar gehuisvest om kennisoverdracht te vergemakkelijken. Veel gehoord is dat het voor beide disciplines noodzakelijk is om kennis te nemen van elkaars vaardigheden om voor de onderneming een toegevoegde waarde te kunnen hebben. Objecten van onderzoek worden integraal benaderd waarbij de beide disciplines hun eigen kennis en vaardigheden inbrengen.

29

Onze onderzoeksvraag luidde: In hoeverre overlappen de onderzoeksobjecten van de operational auditor en de IT auditor elkaar? Zowel vanuit de theorie als de praktijk hebben we vastgesteld dat er sprake is van overlap in de onderzoeksobjecten van de operational auditor en de IT auditor. Daardoor vindt er bij interne auditdiensten steeds meer samenwerking plaats tussen IT auditors en operational auditors via integrated audits.

4.2

Onderkende Best Practice

De vraag of wij een Best Practice konden ontdekken kunnen wij slechts gedeeltelijk positief beantwoorden. Zowel uit de theorie als in de praktijk blijkt dat het wezenlijke verschil tussen IT auditors en operational auditors slechts de materiedeskundigheid is. Indien beide auditdisciplines dit willen onderkennen kan er sprake zijn van een Best Practice. Bij de uitvoering van een interne auditopdracht zal een verantwoordelijke auditdiscipline moeten worden aangewezen. Daarna zal er altijd een afweging moeten worden gemaakt welke expertise er noodzakelijk is in het auditteam. Dat dit toch niet altijd zo werkt hebben wij in de praktijk kunnen vaststellen. Het vaststellen van de juiste verantwoordelijke auditdiscipline en/of de juiste bemensing van het auditteam is en blijft mensenwerk. De hoofden van de interne auditdiensten welke wij hebben geïnterviewd hebben allen een RE of RO opleiding gevolgd. Ons antwoord op de vraag of er een best practice is te onderkennen zou mogelijk een ander antwoord opgeleverd hebben wanneer aan het hoofd van de interne auditdienst een RA staat zonder dat deze een RE of RO opleiding heeft gevolgd.

30

BIJLAGE 1 OPLEIDINGSSCHEMA VU-IT auditopleiding 1

Bestuurlijke informatieverzorging (Starreveld)

2

Audit vaardigheden

3

Techniek en audit van platformen die van belang zijn voor betrouwbaarheidsaudits, zoals deze met name plaatsvinden in het kader van de jaarrekeningcontrole Techniek en audit van datacommunicatie Inrichting en audit van het beheer van IT (CobiT, ITIL)

4 5

6

7

8

UvA Operational audit opleiding Bestuurlijke Informatieverzorging (met accent op beheersing IT)

Algemene auditing (gemeenschappelijke aspecten van auditing) Relatie met andere audits FA EDP Environmental auditing en forensische accountancy en kwaliteitsauditing

Informatie- en Communicatietechnologie In deze module wordt ingegaan op de verschillende componenten van ICT.

Jurdische aspecten van IT forensics, ict en bewijsvoering Beroepsuitoefening Ethiek Management en organisatie Strategie, Leiderschap en Cultuur

ESAA Operational audit opleiding Bestuurlijke informatieverzorging en administratieve organisatie en interne controle (Starreveld) Auditing methodologie en vaardigheden beroepsethiek en wetenschapsfilosofische benadering

Beroepsethiek

Management Control and Governance, actuele ontwikkelingen op het gebied van sturen en beheersen van organisaties, risk management en corporate governance COSO-ERM Sarbanes Oxley Tabaksblatt e.d.

Strategisch management. Hoe komt strategie tot stand? IT strategie vertalen van organisatiestrategie in een passende IT strategie (IT is enabler voor nieuwe mogelijkheden organisatie

31

VU-It auditopleiding

UvA Operational auditopleiding Enterprise Risk Management

ESAA Operational auditopleiding Risk Management betekenis van riskmanagement voor corporate governance, IT- governance en auditing

9

Risico management

10

Financiële analyse, verslaglegging in geautomatiseerde omgevingen

Financieel management (analyseren van de jaarrekening)

Financiële management informatie:(basisprincipes financiële verslaglegging)

11

Verandermanagement en emotiemanagement.

Organisatie & Verandering rol van internal auditor in veranderingsprocessen

Behavioural Controls gedragsaspecten vanuit psychologie, sociologie en HRM, veranderingsmanagement, kennismanagement en leidinggeven aan professionals

12

Specifieke IT technieken en applicaties Webdesign, PHP, Apache, MYSQL, ERP en audit van SAP Typologie, en audit technieken Scriptie

afstudeerreferaat

referaat

13 14

32

BIJLAGE 2 LIJST MET GEÏNTERVIEWDE PERSONEN Jan Driessen

Programma directeur van de RO opleiding aan de Universiteit van Amsterdam en partner bij KPMG Internal Audit Services

Ronald de Korte

Director van de postacademische opleiding Internal/Operational Auditing Erasmis Universiteit Rotterdam, onderzoeker ESAA, managing partner ACS

Ronald Paans

Lid van het opleidingsbestuur van de Post Graduate IT audit opleiding aan de VU te Amsterdam

Jan van Praat

Directeur Departementale Auditdienst (DAD) bij het Ministerie van Justitie

Luc Steenvoorden

AHOLD Director IT Audit Koninklijke Ahold N.V.

Ronald van der Knaap

FORTIS Audit Services

Berry Wilson

ING Head op PPM (Professional Practices Management) department

33

BIJLAGE 3 LITERATUURLIJST Fijneman, R.G.A. , Roos-Lindgreen, E.E.O, Veltman P.(2005) Grondslagen IT auditing. Academic Service Van Praat, J. C.& Suerink, H (2004) Inleiding EDP-auditing. Ten HagenStam Uitgevers Cristiaanse, R.M.J., Van Praat, J.C. (2005) Inrichten en beheersen van organisaties Thiememeulenhof NOREA Studierapport nr 3 (2002) Raamwerk voor ontwikkeling Normenstelsels en standaarden Paape, L, de Korte R.W.A. (oktober 1999) Van Operational naar Management Control Auditing? Website auditing.nl Klein Schiphorst, Y. , Hartog P.A., Bast, A.(maart 2004) CEO’s over de Internal (Operational) Auditfunctie- “Een oordeel geven blijft belangrijker dan adviseren” onderzoek van V.R.O. en I.I.A. uit 2003 Instituut van Internal Auditors Nederland (21 april 2005) De positie van de Internal auditor in Nederland Hartog, P, Nieuwendijk, M. (1999) Operational auditing en ICT auditing, toch minimaal een L.A.T. relatie De accountant Hartog, P, de Korte R.W.A. (2005) IT audit en operational audit: eenmanszaken of maten? , De EDP-Auditor nr 2 de Bruijn, A.J.M, Werring, A.J.M. EDP-auditing: een halve eeuw jong artikel in Handleiding EDP auditing. Kluwer knowledge Portal Fijneman, R., Roos-Lindgreen, E. Kai Hang Ho (juli 2006)IT auditing in de praktijk Academic Service Korte, R.W.A. de, Paape, L., Verhoog, W.(eds.)Twintig over…Internal/ Operational Auditing: bijdragen aan governance & control, Deel 12 in de VERA reeks, Eurac BV. Driessen, A.J.G. , Molenkamp , A. (2004)Operational Auditing: een managementkundige benadering van internal auditing Kluwer EESA Opleidingsbrochure Post initiele Masteropleiding Internal/OperationalAuditing 2007/2008 VU Opleidingsbrochure Post Graduate IT- auditopleiding 2007/2008 Amsterdam Business School UvA Opleidingsbrochure Executive Master of IT auditing 2007/2008 Hartog, P, Kerk, J. van der (1999) Op weg naar integrated auditing. De Operational auditor.

34

BIJLAGE 4 INTERVIEWVRAGEN

IT AUDITOR OR OPERATIONAL (IT) AUDITOR “dat is de vraag” Ondernemingsnaam Contactpersoon Datum interview Bij interview aanwezig

Scriptie interviewvragen :………………………………………………………… :………………………………………………………… :………………………………………………………… :………………………………………………………… :………………………………………………………… :…………………………………………………………

1. Hoe is de interne auditdienst in de organisatie gepositioneerd? ___________________________________________________________ 2. Hoeveel personen zijn er werkzaam op de interne auditdienst? ___________________________________________________________ 3. Heeft de interne auditdienst/organisatie RO’s in dienst?

Ja/Nee

Zo ja, waar zijn deze opgeleid? _________________________________ Zo nee, : a. wil men RO’s gaan werven of opleiden? ____________________________________________________________ b. zijn er RA’s die operational audit werkzamheden uitvoeren? ____________________________________________________________ 4. Heeft de interne auditdienst/organisatie RE’s in dienst?

Ja/Nee

Zo ja , waar zijn deze opgeleid?__________________________________ Zo nee, wil men RE’s gaan werven of opleiden? ____________________________________________________________ 5. Zitten RE’s en RO’s fysiek bij elkaar gehuisvest (op één lokatie, afdeling)? Ja/Nee _____________________________________________________________

35

6. Zijn er binnen de interne auditdienst/organisatie doelstellingen (beleid/taakopdracht) geformuleerd inzake de uit te voeren werkzaamheden IT auditors en Operational auditors? Ja/Nee 6.a Indien ja, wat voor beleid/taakopdracht? _____________________________________________________________

6.b Indien nee, bestaat er in de organisatie het voornemen om binnen nu en één jaar beleid op dit gebied te ontwikkelen en/of in te voeren? ______________________________________________________________ 7. Is er bij het uitvoeren van IT- en Operational audits sprake van een afzonderlijke audit aanpak ? Ja/Nee 7.a Wat voor soort audits worden er uitgevoerd door IT auditors? _______________________________________________________________ 7.b

Wat voor soort audits worden er uitgevoerd door Operational Auditors? ________________________________________________________________ 8. Worden IT- en Operational audits gezamenlijk uitgevoerd (integrated auditing)? Ja/Nee 8.a Zo ja, wat voor soort audits worden er dan gezamenlijk uitgevoerd? ________________________________________________________________ 8.b Wie is leading bij integrated auditing? _________________________________________________________________ 8.c Zo nee, is de organisatie geen voorstander van integrated auditing? _________________________________________________________________ 9. Wat bepaald de keuze voor het inzetten van een IT auditor of operational auditor? _________________________________________________________________ 10.Bij welke onderzoeksobjecten wordt altijd een IT auditor ingezet? _________________________________________________________________ 11.Worden werkzaamheden van de IT-audit en Operational auditdiciplines uitgevoerd op basis van afzonderlijke controleprogramma's dan wel op basis van (schriftelijke) gemaakte afspraken tussen de IT-audit en Operational auditdiciplines? _________________________________________________________________

36

12.Wordt gebruik gemaakt van uitkomsten van elkaars audit? (operational audit en IT-audit)? _________________________________________________________________ 13.Welke baselines of (afgeleide) normen (kaders) worden gebruikt bij Operational audit (TOP5) _________________________________________________________________ 14.Welke baselines of (afgeleide) normen (kaders) worden gebruikt bij IT-audit (TOP5) _________________________________________________________________ 15.Hoe verloopt in grote lijnen het proces van operational audit? (opdrachtformulering/verstrekking/aanvaarding/scope/objecten/aspecten/rapportering/voorgeschreven dossiervorming) _________________________________________________________________ 16.Hoe verloopt in grote lijnen het proces van IT audit? (opdrachtformulering/verstrekking/aanvaarding/scope/objecten/aspecten/rapportering voorgeschreven dossiervorming) _________________________________________________________________ 17.Hoe is de samenwerking tussen de interne audit disciplines en de Externe accountant geregeld? _________________________________________________________________ 18.Tot slot zijn er nog zaken die van belang zijn inzake dit onderwerp waarover nog niet is gesproken?

37

BIJLAGE 5 DOSSIERREVIEW FORMULIER Dossierreview Naam: Typologie: Integrated

IT-Audit

Operational Audit

Soort opdracht: Opdracht formulering: Opdracht aanvaarding: Plan van aanpak: Aanpak van audits • Wie is opdrachtgever?

•

Wat is de aanleiding voor de audit? (Waarom?)

•

– Conform auditplanning? – Speciale opdracht? Wat voor type audit en soort auditobject (proces / project, technisch)?

•

Wat is de doelstelling en reikwijdte?

•

Hoe ziet de risico omgeving van het auditobject eruit?

•

Wie vormen de belangrijkste actoren?

•

Gehanteerde normenkaders: Best practices voor: Interne normen. Zoals de missie van een organisatie, de kritieke succesfactoren, handboeken en budgetten kunnen normbepalend zijn

38

Dossierreview Naam: Typologie: Integrated

IT-Audit

Operational Audit

Soort opdracht: Externe toetsingsnormen referentiekaders. Business (bijvoorbeeld): COSO, INK-managementmodel, KAD, SOX, Balanced Scorecard ICT (bijvoorbeeld):COBIT, ITIL, ISO/BS7799, NIST, SOX404 * Beoordeling van de opzet, het bestaan en/of de werking. * Opgelegde beperkingen * Dossiervorming:

*

Rapportering

39