Samenwerking tussen Operational- en IT-auditor randvoorwaarden, mogelijkheden en domeinen voor de samenwerking tussen de Operational en de it-auditor
Instituut van Internal Auditors Nederland
Samenwerking tussen Operational- en IT-auditor Randvoorwaarden, mogelijkheden en domeinen voor de samenwerking tussen de Operational en de IT-auditor
Instituut van Internal Auditors Nederland
Colofon Redactie Frits Engel EMIA RO CCSA drs. Piet Goeyenbier RE RA RO Albert Kuppers RE Overige werkgroepleden drs. Danielle van Emmerik RA RO drs. Ruth van den Heuvel-Slappendel EMIA RO drs. Xu-Yao Pan EMIA RO drs. ing. Arno Nuijten RE CIA CISA drs. Marc van der Veen RA
Disclosure IIA publiceert dit document voor informatieve en educatieve doeleinden. Het rapport is met name bedoeld als gids. In dit rapport komen Engelse woorden voor. Wij hebben ervoor gekozen om over het algemeen geen vertaling op te nemen. Om de leesbaarheid te vergroten hebben wij er voor gekozen om in de hoofdtekst geen literatuurverwijzingen op te nemen. Deze literatuurverwijzingen zijn wel in de bijlagen opgenomen.
Copyright Het copyright van deze publicatie is in handen van IIA Nederland. Toestemming voor reproductie kunt u per e-mail aanvragen bij IIA via
[email protected].
4
Voorwoord De missie van IIA Nederland is om het beroep en vak “internal audit” in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden behulpzaam te zijn bij een succesvolle invulling van de internal audit functie. De geautomatiseerde informatievoorziening is vandaag de dag niet meer weg te denken uit de organisatie en raakt alle beheersaspecten en processen van een organisatie. De Operational- (OA) en de IT-auditor (ITA) kunnen elkaar uitstekend aanvullen en samenwerken op de gebieden van beheersing van organisatie, processen, projecten, risico’s en informatievoor-ziening. Vanuit de Commissie Vaktechniek heeft een enthousiaste werkgroep invulling gegeven aan het onderzoeken en het nader uitwerken van die samenwerking tussen OA en ITA en daarbij tevens ingezoomd op de onderkende beheersgebieden. Ik dank de werkgroepleden hartelijk voor hun inzet om de leden van IIA Nederland inzicht te geven in zowel de gedrags- als de methodische aspecten van de samenwerking tussen OA en ITA en daarnaast de grote hoeveelheid nuttige documenten die via de website van IIA (www.iia.nl) te ontsluiten zijn via 22 referentiekaarten over uiteenlopende en relevante onderwerpen van de hiervoor genoemde te beheersen gebieden. Ik adviseer een ieder die werkzaam is op het raakvlak organisatie/informatievoorziening kennis te nemen van deze rapportage.
Michel Kee RA Voorzitter IIA Nederland
5
Dankwoord We willen graag van de gelegenheid gebruik maken om alle 300 IIA leden die meegedaan hebben aan onze enquête over de samenwerking tussen de Operational- en IT-auditor te bedanken. Verder dank aan de auditmanagers met wie wij de resultaten van de enquête hebben besproken en van wie wij reacties hebben ontvangen over de herkenbaarheid van de resultaten. Uiteraard ook dank aan de auditmanagers van de organisaties die ons informatie over de organisatie van hun internal audit functie hebben gegeven en alle anderen die een bijdrage hebben geleverd.
6
Inhoudsopgave Waar gaat het over? ������������������������������������������������������������������������������ 8 1 Waar doen wij het voor?��������������������������������������������������������������������������������������� 8 2 Vertrekpunt en afbakening������������������������������������������������������������������������������������ 8 3 Werkwijze ������������������������������������������������������������������������������������������������������������ 8 4 Leeswijzer ������������������������������������������������������������������������������������������������������������ 8 Deel 1 Generieke aspecten bij de samenwerking tussen OA en ITA ������ 10 1 Waar gaat het over?������������������������������������������������������������������������������������������� 10 2 Regelgeving OA en ITA��������������������������������������������������������������������������������������� 10 3 Organisatorische aspecten���������������������������������������������������������������������������������� 10 4 Gedragsaspecten ����������������������������������������������������������������������������������������������� 11 5 Audituitvoering en samenwerking ���������������������������������������������������������������������� 12 6 Overeenkomsten en verschillen �������������������������������������������������������������������������� 16 Deel 2 De gebieden voor samenwerking van OA en ITA������������������������ 18 1 Waar gaat het over?������������������������������������������������������������������������������������������� 18 2 Organisatiebeheersing���������������������������������������������������������������������������������������� 21 3 Risico- en projectbeheersing ������������������������������������������������������������������������������� 22 4 Procesbeheersing ����������������������������������������������������������������������������������������������� 23 5 Beheersing informatievoorziening����������������������������������������������������������������������� 24 6 Beveiliging informatievoorziening ����������������������������������������������������������������������� 25 7 Tot slot���������������������������������������������������������������������������������������������������������������� 26 Referentiekaarten Bijlagen 1 Relevante regelgeving voor OA en ITA 2 Inventarisatie praktijk IA-functie met betrekking tot OA en ITA 3 Gedragsaspecten samenwerking OA en ITA 4 Integrated auditplanning: een stappenplan 5 Inventarisatie werkwijze op basis van de theorie van OA en ITA
De bijlagen en de referentiekaarten vindt u op deze cd of kunt u downloaden van de website van IIA.
7
Waar gaat het over? 1 Waar doen wij het voor? De steeds intensievere informatisering en de continue aandacht voor organisatie- en procesverbetering zorgen er voor dat de Operational Auditor (OA) en de IT-auditor (ITA) elkaar steeds vaker in het werkveld tegenkomen en samen optrekken. De commissie vaktechniek van het IIA heeft een werkgroep ingesteld om nader onderzoek te doen op dit gebied. Met dit rapport willen wij good practices beschikbaar stellen die de samenwerking tussen de OA en de ITA bevorderen. Zij vormen dan ook de primaire doelgroepen waar wij ons op richten. Dit rapport geeft ook nuttige handvatten voor anderen. Wij denken dan vooral aan de financial auditors, controllers en management. 2 Vertrekpunt en afbakening De centrale vraag die wij proberen te beantwoorden is: ‘Op welke wijze en op welke terreinen kunnen de OA en ITA samenwerken en hoe kan die samenwerking worden bevorderd?’ Bij de beantwoording van deze vraag hebben wij een drietal onderwerpen onderscheiden, waarvan de eerste twee in elkaars verlengde liggen: 1. Welke randvoorwaarden of aandachtspunten hebben invloed op de samenwerking tussen OA en ITA? Hoe kunnen deze de samenwerking bevorderen? Dit betreft onderwerpen als organisatie, communicatie, gedragsaspecten, regelgeving en de beroepsorganisaties. 2. Welke good practices zijn er bij de samenwerking op het gebied van de uitvoering te vinden? Hier gaan wij in op de verschillende fasen van de audit en een aantal onderwerpen zoals jaarlijkse risicoanalyse, planning, jaarplan, projectplan, aanpak, referentiemodel, normenkader, dossiervorming en kwaliteitsborging. 3. Welke domeinen lenen zich voor samenwerking tussen OA en ITA? In de vorm van referentiekaarten worden deze domeinen behandeld. Als afbakening hebben wij ervoor gekozen ons specifiek te richten op die factoren die de samenwerking tussen OA en ITA direct beïnvloeden. Wij gaan niet specifiek in op de positionering van de Internal Audit Functie zelf. Daaraan wordt in andere studies, richtlijnen en documenten al genoeg aandacht geschonken. Verder richten wij ons vooral op de assurancefunctie, de resultaten zullen breder toepasbaar zijn. 3 Werkwijze Wij zijn op zoek gegaan naar de randvoorwaarden die van invloed zijn op de samenwerking tussen en de overeenkomsten en verschillen met betrekking tot de OA en de ITA. Tevens hebben we onderzocht waar de OA en ITA ‘elkaar tegen (kunnen) komen’. Er is een groot aantal onderwerpen te onderkennen, waarop de OA en ITA goed kunnen samenwerken en die voor een good practice in aanmerking kunnen komen. Om het geheel overzichtelijk te houden hebben we keuzes gemaakt. Wij pretenderen dan ook niet dat wij volledig zijn met de uiteindelijk 22 referentiekaarten met domeinen waarop de OA en ITA kunnen samenwerken. Deze referentiekaarten zijn niet in dit rapport opgenomen maar via het besloten deel van www.iia.nl te benaderen. 4 Leeswijzer Het rapport bestaat uit twee delen. Deel 1 bevat een generieke beschrijving waarin wordt ingegaan op de randvoorwaarden of aandachtspunten die de samenwerking tussen de OA en de ITA kunnen bevorderen. In dit deel wordt ook aandacht gegeven aan gedragsaspecten bij de samenwerking en de audituitvoering.
8
In deel 2 hebben wij de toelichting op de referentiekaarten opgenomen. Deze hebben wij geclusterd in vijf groepen van organisatiebeheersing van proces- en risico- en projectbeheersing tot de beheersing en de beveiliging van de informatievoorziening. Bijzonder aan de referentiekaarten is dat wij in de digitale versie van de referentiekaarten (www.iia.nl) good practices in de vorm van ingesloten documenten hebben opgenomen. Hiermee zijn tientallen MB’s aan nuttige en waardevolle documenten vanuit het vrije domein (internet) in deze referentiekaarten opgenomen. In de vijf bijlagen zijn de resultaten van het veldwerk opgenomen die de basis vormen voor deel 1 De generieke aspecten van samenwerking tussen OA en ITA. De gehele rapportage (rapport, de vijf bijlagen en de 22 referentiekaarten) wordt in onderdelen beschikbaar gesteld als download via het besloten deel van de website van IIA (www.iia.nl) en vindt u op deze cd.
9
Deel 1: Generieke aspecten bij de samenwerking tussen OA en ITA 1 Waar gaat het over? In dit deel gaan wij in op de randvoorwaarden en aandachtspunten die van invloed zijn op de samenwerking tussen de Operational auditor (OA) en de IT-auditor (ITA). Tevens gaan wij in op de uitvoering van deze samenwerking. In de volgende paragrafen zal dieper ingegaan worden op regelgeving, organisatorische aspecten, gedragsaspecten en werkwijze. We sluiten dit deel af met een overzicht van de overeenkomsten en verschillen bezien vanuit de OA en ITA. 2 Regelgeving OA en ITA De Operational- en IT-auditors hebben geen specifieke wetgeving waaraan zij zich moeten houden. Ze hebben wel te maken met de regelgeving die door de beroepsorganisaties IIA (Instituut van Internal Auditors (voor alle internal- en operational auditors)) en NOREA (Nederlandse Orde van Register EDP-auditors (specifiek voor IT audit)) is uitgegeven. In bijlage 1 “Relevante regelgeving voor OA en ITA” is een inventarisatie opgenomen van de relevante regelgeving, alsmede een vergelijking van de postdoctorale opleidingen. De belangrijkste constatering is dat er meer overeenkomsten dan verschillen in de regelgeving zijn. Voor de ITA zijn meer gedetailleerde uitwerkingen in de Nederlandse taal beschikbaar. Een belangrijk verschil is dat NOREA en daarmee de gecertificeerde IT-auditor RE erkend is door de NBA (Nederlandse Beroepsorganisatie van Accountants) als opdracht-verantwoordelijke voor assurance-opdrachten en overeengekomen specifieke werkzaamheden; IIA en daarmee de RO is dat (nog) niet. Hoewel dit primair betrekking heeft op de externe auditors, zal dit waarschijnlijk ook gevolgen hebben voor de interne auditors die geen RA of RE zijn bij het gebruik van hun assurancerapporten door RA’s. Op het gebied van de kwaliteitstoetsing van de internal auditfunctie (IAF) wordt steeds nauwer samengewerkt tussen NBA, NOREA en IIA. Eind 2010 is IIA geaccrediteerd door het NBA om kwaliteitstoetsingen uit te voeren bij internal auditfuncties. NOREA en IIA zijn in gesprek om tot een soortgelijke accreditatie te komen. Resumerend: de regelgeving van OA en ITA bevat veel overeenkomsten, hoewel er accentverschillen bestaan. De regelgeving hoeft dan ook een goede samenwerking tussen OA en ITA niet in de weg te staan. De postdoctorale opleidingen voor OA en ITA zijn van een vergelijkbaar niveau en beiden schenken aandacht aan de andere auditdisciplines, hetgeen de samenwerking tussen de OA en ITA bevordert. 3 Organisatorische aspecten Wij hebben als uitgangspunt gehanteerd dat de OA en ITA werkzaam zijn in dezelfde organisatorische eenheid, die wij hier verder duiden als de ‘internal auditfunctie’. De positionering van de internal auditfunctie in de organisatie is van invloed op de effectiviteit van de werkzaamheden en de producten van de auditfunctie als geheel. Deze positionering beïnvloedt de samenwerking van OA en ITA niet wezenlijk. De inrichting van de auditfunctie zelf is wel van invloed op de samenwerking. In deze paragraaf besteden we daarom uitsluitend aandacht aan de organisatie van de auditfunctie zelf. We baseren ons hierbij mede op een inventariserend onderzoek bij internal auditfuncties van grote organisaties (zie bijlage 2 “Inventarisatie praktijk IA-functie m.b.t. OA en ITA”).
10
Wanneer de interne auditfunctie in een organisatie groter wordt kan het, voor de beheersbaarheid, nodig zijn een bepaalde verdeling in afdelingen, secties, clusters etc. door te voeren. Hierbij zijn de volgende varianten te onderkennen: • inrichting op basis van auditdisciplines (discipline- of productgericht); • inrichting op basis van de organisatie (organisatie-, klant- of objectgericht); • matrixorganisatie (zowel naar organisatie als discipline). Ten behoeve van een effectieve samenwerking tussen OA en ITA gaat de voorkeur uit naar een inrichting van de auditfunctie naar organisatieonderdeel (of controleobject). De verschillende auditdisciplines zitten dan in één organisatorische eenheid en bedienen gezamenlijk de klant. De onderzoeken kunnen zowel “integrated” als door een afzonderlijk specialisme worden uitgevoerd. Een aandachtspunt bij de organisatie-, klant- of objectgerichte indeling is dat de afzonderlijke disciplines (OA en ITA) meer verdeeld zitten in de organisatie, wat ten koste kan gaan van de ontwikkeling van de discipline. Oplossingen hiervoor zijn bijv. werkgroepen waarbinnen (specialistische) kennisontwikkeling in de vorm van kennisprojecten plaats kan vinden en uiteraard vaktechnisch overleg per discipline. Belangrijk is echter dat binnen de internal auditfunctie sprake is van dezelfde doelstellingen, een gemeenschappelijke basis in de wijze van communiceren binnen de organisatie, omgaan met opdrachtgevers en auditees, ethiek, omgaan met fraude, overwinnen van weerstand en bijdragen tot organisatieverandering. De IIA-Publicatie “Behavioral Dimensions of Auditing: A Practical Guide to Professional Relationships in Internal Auditing” beschrijft deze gemeenschappelijke basis. Andere maatregelen die de samenwerking tussen de beide auditdisciplines bevorderen zijn: • het beschikken over een marktplaats (en/of kennissysteem) waar vraag en aanbod van deskundigheden elkaar kunnen vinden; • bevorderen van gemeenschappelijke kennis door: - medewerkers te laten scholen in beide disciplines; - communicatie over de disciplines heen (bijeenkomsten van de ene discipline zijn ook toegankelijk voor de andere discipline); - communicatie over nieuwe ontwikkelingen vanuit de verschillende disciplines bv. in periodieke gezamenlijke vaktechnische bijeenkomsten of in een nieuwsbrief; • gebruik van dezelfde aanpak, dossiervorming, (rapportage-) standaarden, enz. (zie par. 5). 4 Gedragsaspecten en samenwerking Zoals hiervoor is aangegeven, zijn er veel overeenkomsten en een paar verschillen tussen de OA en de ITA in de kennis en ervaringen die ze hebben opgebouwd in opleidingen en werk. De vraag is of een ITA niet een andere stijl heeft van waarnemen, aanpakken en communiceren dan een OA. Dit kan (door training) zo ontwikkeld zijn, maar het kan ook zijn dat iemand zich juist daardoor aangetrokken voelde tot de één van beide functies. Hier gaan wij in op enkele aandachtspunten vanuit de gedragsaspecten. Deze zijn gebaseerd op een literatuur-review, een aantal interviews bij interne auditfuncties en de antwoorden van 300 IIA-leden op een enquête die wij eind 2010 hebben gehouden. De resultaten van dit onderzoek zijn opgenomen in bijlage 3 “Gedragsaspecten samenwerking OA en ITA”. Op basis van het onderzoek hebben we enige aandachtspunten ten aanzien van de gedragsaspecten onderkend die een rol kunnen spelen in de communicatie en samenwerking tussen de OA en de ITA. Uitgangspunt hierbij is dat er sprake is van een gemeenschappelijke basis, zie voorgaande paragraaf.
11
Good practices bij de samenwerking a. Voldoende gemeenschappelijke kennis Het onderzoek bevestigt de behoefte aan basiskennis van beide vakgebieden bij zowel OA als ITA. Kennis van IT en businessprocessen is nodig om met elkaar te kunnen discussiëren over de weging van (IT-gerelateerde) risico’s en om elkaar tijdig in te schakelen (onderkennen dat de aanvullende kennis van de ander nodig is). Samenwerking en discussie kunnen bekende “biases” ondervangen die kunnen leiden tot overschatten of onderschatten van IT-gerelateerde risico’s.
b. Een goede afstemming aan het begin van de audit Uit de enquête blijkt dat een betere afstemming tussen OA en ITA bij de aanvang van audits wenselijk is. Het beeld komt maar voren dat zowel ITA als OA zich bij de start van een audit eerst richten op hun eigen werkterrein en minder goed in beeld hebben welke activiteiten de ander oppakt. Daarbij is opvallend dat voor de OA blijkbaar minder prominent zichtbaar is vanuit welke doelen en prioriteiten de ITA zijn werkzaamheden inricht. Samenwerking bij de auditplanning en bij de intake is aan te bevelen. c. Verschillen in voorkeursstijlen Accentverschillen in voorkeursstijlen van OA en ITA bieden aanknopingspunten om het auditteam zo sterk mogelijk aan te laten sluiten op de aard van de opdracht. Uit de enquête komen accentverschillen naar voren in de mate waarin OA en ITA zich richten op hoofdlijnen dan wel oog hebben voor details. De OA lijkt zich meer te richten op softcontrols en zich minder te richten op data-analyse dan de ITA. Tevens komt als accentverschil naar voren dat de OA meer geneigd is om “het glas als half vol” te beschouwen terwijl de ITA meer geneigd is om “het glas als half leeg” te bezien. De ITA wordt door de respondenten sterker geacht in het planmatig toetsen (van processen en gegevens) dat aan externe normen wordt voldaan. Een organisatorische bundeling kan worden gekozen om zoveel mogelijk synergie te halen uit de overeenkomsten en verschillen tussen OA en ITA.
d. Focus op de doelgroep Uit het onderzoek komt het beeld naar voren dat de OA zich in zijn rapportage meer verplaatst in het gedachtegoed van het business management en zich minder bedient van vakjargon dan de ITA. Dit brengt met zich mee dat de ITA zich binnen dit vakjargon preciezer en geloofwaardiger kan uitdrukken wanneer de doelgroep van de audit dit vakjargon deelt, dus bijvoorbeeld IT-management, IT-specialisten en andere (externe) IT-auditors. Daarom is het verstandig om de samenstelling en taakverdeling van het audit-team ook in dit opzicht af te stemmen op de doelgroep van de audit. e. OA en ITA vullen elkaar aan De OA en de ITA kunnen qua kennis en competenties elkaar aanvullen. Door samenwerking kunnen ‘biases’ worden verminderd en kan de effectiviteit van het audit-product worden versterkt. Voorwaarde daarbij is dat er een gemeenschappelijke basis aan kennis van auditing, IT en bedrijfsprocessen bij OA en ITA aanwezig is. Het werkgebied van de OA en de ITA is op veel plaatsen dusdanig complex en uitgebreid, dat verbijzonderde rollen en competenties noodzakelijk blijven. Dus samenwerking tussen de OA en de ITA heeft toekomst. 5 Audituitvoering en samenwerking In de literatuur treffen we relatief weinig voorbeelden aan van de samenwerking tussen de OA en de ITA. In bijlage 4 “Integrated auditplanning: een stappenplan” hebben wij een samenvatting opgenomen van de beschikbare literatuur op dit gebied. In deze bijlage 4 wordt, gebaseerd op het literatuuronderzoek, een stappenplan voorgesteld, dat wij in deze paragraaf kort behandelen. Verder gaat deze paragraaf in op de aspecten die samenhangen met de uitvoering van de audit. Voor de nadere uitwerking van dit onderwerp verwijzen wij naar bijlage 5 “Inventarisatie werkwijze o.b.v. de theorie van OA en ITA”.
12
A. Integrated auditplanning: een stappenplan Het risico is aanwezig dat zonder concrete sturing de verschillende auditdisciplines ‘hun eigen ding doen’, zonder onderlinge afstemming, samenwerking of integratie. Verder bestaat het risico dat elke discipline een oordeel geeft over een deelaspect van de bedrijfsvoering terwijl het management verantwoordelijk is voor de bedrijfsvoering als geheel. Een integraal oordeel en afgestemde aanbevelingen vanuit de interne auditfunctie zou beter aansluiten bij de managementverantwoordelijkheid. Dit kan bereikt worden door een integrated audit. Hiertoe is een goede planning essentieel om te kunnen komen tot het gewenste integrale oordeel en de afgestemde bevindingen en aanbevelingen. Wij onderkennen de volgende stappen:
Stap 1. Breng relaties tussen processen en systemen in beeld De internal audit functie moet allereerst inzicht hebben in de manier waarop de processen en systemen binnen de organisatie zich tot elkaar verhouden. De relaties dienen (schematisch, bijvoorbeeld in een procesdecompositie) in kaart gebracht te worden. Zo wordt duidelijk welke operationele en beheersingsprocessen gebruik maken van welke ITsystemen, en welke operationele processen ondersteunend zijn aan de IT-systemen. Maar ook andere relaties zijn mogelijk, bijvoorbeeld die tussen IT en de strategievorming en -realisatie. N.b. in de referentiekaart 3.4. A&K Analyse (Afhankelijkheids- en Kwetsbaarheidanalyse) wordt een aanpak toegelicht die als hulpmiddel kan dienen om inzicht te krijgen in de relatie tussen processen en informatiesystemen. Stap 2. Hanteer één audit universe Door de systemen en processen met hun onderlinge relaties in beeld te brengen kan er ook worden toegewerkt naar één audit universe. De audit universe is de verzameling van gebieden (bijv. activiteiten, afdelingen, risico’s, systemen) die geaudit kunnen worden binnen een organisatie. Het is belangrijk dat de verschillende auditdisciplines niet ieder hun eigen universe hanteren. Het is dus niet de bedoeling dat bijvoorbeeld ITA een eigen universe opstelt, redenerend vanuit systemen/infrastructuren, en dat OA op basis van processen haar universe opstelt. In plaats daarvan moet één universe worden opgesteld. Het gaat dus om het integreren van auditobjecten in plaats van het integreren van auditdisciplines. Stap 3. Voer een gezamenlijke risicoanalyse uit en stel één audit jaarplan op Bij de gezamenlijke risicoanalyse moeten alle bedrijfsvoeringaspecten worden meegenomen. Maak indien mogelijk hierbij ook gebruik van de door de business zelf uitgevoerde risicoanalyse. Het resultaat van deze stap is een geïntegreerd audit jaarplan voor de financiële, operationele en IT-audits dat aan het audit committee c.q. directie, RvB kan worden aangeboden. De geïntegreerde risicoanalyse leidt niet alleen tot een gezamenlijke selectie en afbakening van audits, maar kan tevens de basis vormen voor een geïntegreerde voorbereiding, uitvoering en rapportage. Een andere positieve bijkomstigheid van een jaarplan is dat de audits tijdig bekend gemaakt kunnen worden bij de auditee. Nb. er kan ook worden gewerkt met een meerjaren audit plan dat periodiek wordt herijkt. Stap 4. Bepaal de mate van integratie per audit (integrated audit) Als laatste stap moet bepaald worden in hoeverre audits zelf ook geïntegreerd uitgevoerd moeten/kunnen worden. Dit kan door te kijken naar kwaliteitsaspecten die voor de uitvoering van de geïntegreerde audit van belang zijn. Vanuit deze aspecten kan afgeleid worden welke auditdisciplines daarbij betrokken moeten worden.
13
B. De uitvoering (gemeenschappelijke aanpak, dossiervorming, rapportage enz.) Wij hebben aangegeven dat het gebruik van dezelfde aanpak, dossiervorming en (rapportage)standaarden de samenwerking tussen OA en ITA bevordert. Hieronder gaan we daar nader op in. Voor meer informatie en de gehanteerde literatuur verwijzen wij naar bijlage 5 “Inventarisatie werkwijze o.b.v. de theorie van OA en ITA”.
1. Audit(jaar)planning Het bestaan van een geïntegreerd audit(jaar)plan is belangrijk om tot een effectieve en efficiënte samenwerking te komen die toegevoegde waarde heeft voor een organisatie. Wij hebben hiervoor een aantal handvatten beschreven om te komen tot deze geïntegreerde planning. 2. Fasering van de audit Hoewel de bewoordingen iets kunnen verschillen, kennen Operational- en IT-audits grofweg dezelfde fasering van de audit. Bij de uitvoering van een audit worden de volgende stappen onderkend: 1. Vooronderzoek 2. Opdrachtverstrekking en rapportage 3. Uitvoering van het onderzoek 4. Rapportage 5. Evaluatie 6. Follow up. 3. Kwaliteitsaspecten en objecten van onderzoek Bij een onderzoek staan de onderzoeksobjecten en de kwaliteitsaspecten van die onderzoeksobjecten centraal. Bij de OA kan bij een onderzoeksobject vooral worden gedacht aan een proces of een organisatie. Bij de ITA kan daarnaast nog worden gedacht aan een geautomatiseerd informatiesysteem of een onderdeel van de technische infrastructuur. Bij de OA staan de kwaliteitsaspecten effectiviteit en efficiency, die vaak worden genoemd in relatie tot de beheersbaarheid, centraal. De ITA kent de kwaliteitsaspecten exclusiviteit, integriteit, continuïteit, controleerbaarheid, onweerlegbaarheid en beheersbaarheid naast de effectiviteit en efficiency die ook de OA hanteert. De kwaliteitsaspecten integriteit, continuïteit en exclusiviteit worden ook wel aangeduid met het containerbegrip betrouwbaarheid. De OA en ITA vullen elkaar hier goed aan.
4. Normering en referentiemodel Bij de beoordeling kan aandacht worden geschonken aan zowel inrichting (opzet en bestaan) als de werking van de beheersingsmaatregelen. Een referentiekader of een normenkader is een nuttig hulpmiddel tijdens de uitvoering van de audit. De te toetsen objecten en kwaliteitscriteria moeten goed zijn uitgewerkt in het referentiemodel. Bij het komen tot een referentiemodel of normenkader is het handig gebruik te maken van kaders, standaarden en normen die worden aangeboden vanuit de markt (zoals ISO, INK, Prince2, CobiT, ITIL) en vanuit de beroepsorganisaties (IIA, NOREA, NBA, enz.). Daarbij wordt uiteraard aandacht besteed aan de beheersmaatregelen die het management belangrijk vindt. Vooral de ITA kan steeds meer gebruik maken van meer (technische) standaarden en normen die door leveranciers van hard- en software dan wel internationale organisaties beschikbaar worden gesteld (ISO-standaarden, zoals de Code voor Informatiebeveiliging en standaarden van NIST, National Institute of Standards en Technology). De OA zal minder gebruik kunnen maken van dergelijke standaarden en normen en het referentiemodel zelf moeten opstellen, waarbij hij wel gebruik kan maken van generieke modellen als COSO, Prince2, KAD, Simons, 6Sigma, enz.. Normenkader en referentiemodel zijn een hulpmiddel om de ist-situatie met de soll-situatie te vergelijken, de afwijkingen te analyseren en te wegen en zo te komen tot bevindingen
14
(en aanbevelingen). Dit dient uiteindelijk als de basis voor de oordeelsvorming. Voor zowel de OA als de ITA is het vanzelfsprekendheid om het tijdens de audit te gebruiken referentiemodel c.q. normenkader vooraf af te stemmen met de opdrachtgever.
5. Controlemiddelen en mate van zekerheid Vooral bij assurance-opdrachten waarbij een redelijke mate van zekerheid moet worden verstrekt is het van belang dat er sterke controlemiddelen worden gebruikt, die dus in belangrijke mate bijdragen tot het bewijs. Op basis van het gedane onderzoek en het daarmee verzamelde bewijs kan meer of minder zekerheid worden verstrekt. De OA en de ITA gebruiken dezelfde hulpmiddelen. Steekproeven en data-analyse zijn ook voor OA nuttige hulpmiddelen. Hierbij kan de ITA juist van toegevoegde waarde zijn met zijn kennis van de geautomatiseerde informatievoorziening. 6. Rapportage De auditrapportage is het eindproduct en daarmee ook het visitekaartje van de auditor. Een auditrapport bevat normaliter de volgende onderwerpen: • opdracht (doelstelling van de audit); • onderzoeksobject (beschrijving van het onderzochte gebied); • de criteria die tijdens het onderzoek zijn onderzocht; • de bevindingen (en aanbevelingen) resulterend uit het onderzoek; • het oordeel over de kwaliteit van de beheersing. Nb.: Bij een assurancerapport staat de conclusie (het oordeel) centraal, deze moeten gebaseerd zijn op de bevindingen en de aanbevelingen komen op de tweede plaats.
7. Dossiervorming Dossiervorming: het dossier is zowel verantwoordingsmiddel (over de uitgevoerde audit) als communicatiemiddel (voor toekomstige audits). Het dossier bevat minimaal: • vooronderzoek (indien van toepassing); • opdrachtbevestiging; • auditplan en uitgevoerde auditwerkzaamheden; • auditbevindingen en bewijsmateriaal; • vastleggingen van overwegingen aangaande aspecten die vakkundige oordeelsvorming vergden, zoals deelconclusies en de afwerking van aantekeningen; • rapportage (concepten en de definitieve versie van het rapport). Belangrijk is dat de audittrail in het dossier goed vastgelegd is. Voor de dossiervorming is een indeling op basis van de hiervoorgenoemde stappen tijdens een onderzoek handig.
8. Kwaliteitsborging (op opdrachtniveau) Op het niveau van de interne auditfunctie is de huidige stand van zaken dat de beroepsorganisaties NBA (NIVRA en NOvAA), NOREA en IIA gezamenlijk de kwaliteitstoets naar hun functioneren uitvoeren en daarvoor een en dezelfde aanpak en normering hanteren. Hierbij wordt ook aandacht geschonken aan de kwaliteitsborging op het niveau van een opdracht. Naast het hanteren van aandachtspunten voor de diverse onderdelen (plan van aanpak, referentiemodel, rapportage en dossiervorming) is het toepassen van peer reviews of onafhankelijke kwaliteitstoetsen op die afzonderlijke onderdelen gemeengoed. Beschouwing Uit het voorgaande kan worden afgeleid dat er veel overeenkomsten en geen wezenlijke verschillen zijn tussen de werkwijze van een OA en van een ITA. Een klein verschil is dat een OA zelf meer invulling moet geven aan een referentiemodel, terwijl de ITA daarbij meer gebruik kan maken van bestaande standaarden en good practices.
15
Verder vullen de OA en de ITA elkaar vooral goed aan: - de OA is ook gericht op de organisatie en de besturing daarvan en besteedt onder meer aandacht aan de kwaliteitsaspecten efficiency, effectiviteit en cultuur en de menselijke kant; - de ITA is vanzelfsprekend meer gericht op de beheersing van de ICT en de ondersteuning van de processen d.m.v. ICT en richt zich vooral op de kwaliteitsaspecten continuïteit, integriteit en exclusiviteit. 6 Overeenkomsten en verschillen In onderstaande tabel geven wij inzicht in de belangrijkste overeenkomsten en verschillen tussen de OA en de ITA, zoals al in voorgaande paragrafen is uitgewerkt. Tevens wordt inzicht gegeven in enkele maatregelen die de samenwerking tussen beide auditdisciplines bevorderen.
16
ONDERWERP
OVEREENKOMSTEN
VERSCHILLEN
Regelgeving
Deskundigheid, geheimhouding, opdrachtaanvaarding, assurance, uitvoering, dossiervorming, enz..
NOREA volgt de IFAC-standaarden meer dan IIA. IT-auditor is erkend door NBA als assurance verschaffer. NOREA meer standaarden in Nederlands dan IIA. Bij IIA wel alle standaarden beschikbaar in het Engels.
Gedragsaspecten
Zij hebben beiden opleiding en ervaring als auditor, dwz het toetsen aan normen (evidence based).
OA neigt meer naar “glas half vol” en rapporteert meer gericht op algemeen management. De ITA neigt meer naar “glas half leeg” en rapporteert meer gericht op IT-management.
Opleidingen RO en RE
Gemeenschappelijke basis in de vorm van BIV-AO en (financial) auditing.
De verschillen worden ingegeven door het verschil in werkgebied.
Vaktechnische literatuur
www.iia.nl: rapporten en praktijk-handreikingen en vakblad AUDIT magazine. www.theiia.org: Practice guides: 16 GTAG’s en 3 GAIT’s en vakblad Internal Auditor. www.norea.nl: handreikingen en studierapporten en vakblad de IT-auditor
NOREA (www.norea.nl) richt zich specifiek op de IT-auditor. IIA richt zich specifiek op de internal auditor en schenkt daarbij zowel aandacht aan FA, OA en ITA. IIA is een internationaal werkende organisatie.
Werkwijze
Fasering onderzoek (gaat bij OA iets verder met evaluatie en follow-up) Referentiemodel/normenkader dossiervorming, rapportage, kwaliteitsborging, enzovoort.
OA: soft controls, effectiviteit en efficiency. Veelal zelf referentiemodel opstellen. ITA: technische aspecten, continuïteit, exclusiviteit en integriteit. Meer (technische) standaarden (ISO 27002, enz.) beschikbaar.
ONDERWERP
De samenwerking tussen OA en ITA wordt bevorderd door:
Auditorganisatie
Onderbrenging van de OA en ITA in een klantgerichte organisatie (waarin alle disciplines vertegenwoordigd zijn). Een aandachtspunt hierbij is het op peil houden van de specifieke kennis van de beide auditdisciplines.
Audit(jaar)plan
Integrated (één- of meerjarig) auditplan (gebaseerd op een integrale risico-analyse).
Uit het overzicht blijkt dat er meer overeenkomsten zijn dan verschillen. Door de overeenkomsten (gemeenschappelijke uitgangspunten) wordt de samenwerking bevorderd. Door de verschillen kunnen de OA en ITA elkaar juist aanvullen en versterken en zo van meer toegevoegde waarde zijn voor de organisatie. De organisatorische inbedding en een integrated aanpak versterken de samenwerking tussen beide auditdisciplines.
17
Deel 2: De gebieden voor samenwerking tussen OA en ITA 1 Waar gaat het over? In dit tweede deel gaan wij in op 22 domeinen waarop de OA en de ITA elkaar kunnen treffen. Wij hebben daarbij een clustering gemaakt van die 22 domeinen naar vijf gebieden om het geheel toegankelijker te maken. Met deze vijf door ons gekozen gebieden en de 22 domeinen hebben wij een belangrijk deel van terrein waarop de OA en de ITA kunnen samenwerken behandeld. Maar wij zijn hierbij niet volledig. Een domein kan betrekking hebben op een containerbegrip als informatiebeveiliging, maar kan ook betrekking hebben op een concreter instrument/model als ISAE 3402. In het eerste geval is veelal sprake van meerdere instrumenten/modellen die dan vaak wel worden genoemd of zijn als document opgenomen in een referentiekaart (wordt hierna toegelicht). In het tweede geval wordt wel nader ingegaan op het specifieke instrument/model. Centraal staat dat het onderwerpen betreft die nuttig zijn voor de samenwerking tussen de OA en ITA. Als er door de OA en ITA wordt samengewerkt op een of meerdere van die domeinen is het goed dat beiden meer inzicht hebben in zo’n domein. Door voor elk van die 22 domeinen een referentiekaart op te stellen met nadere informatie over dat domein (instrument/ model), verstrekken wij de OA en ITA dat inzicht. In het onderstaande figuur maken wij de leeswijzer visueel. Voorafgaand aan elk hoofdstuk laten wij zien in welk deelgebied van samenwerking de auditor zich bevindt en welke onderwerpen wij daar onder de loep hebben genomen.
2 organisatiebeheersing 3 Risico beheersing 4 Proces beheersing 5 Beheersing IT 6 Informatiebeveiliging
18
Overzicht van de domeinen Hierna is een overzicht opgenomen van de vijf gebieden en de 22 domeinen, die hierna in de hoofdstukken twee tot en met zes worden toegelicht.
2 Organisatiebeheersing Domein/instrument/hulpmiddel
2.1 Governance, Risk & Compliance (GRC) 2.2 COSO 2.3 Integrated auditing 2.4 Modellen (beheers-, management- en groeimodellen) 2.5 Soft controls
3 Risico- en projectbeheersing Domein/instrument/hulpmiddel
3.1 Risicomanagement 3.2 Control (risk) self assessment (CRSA) 3.3 Integriteitsaudits en fraudeonderzoeken 3.4 Afhankelijkheids- en kwetsbaarheidsanalyse 3.5 Projectbeheersing en PRINCE2
4 Procesbeheersing Domein/instrument/hulpmiddel
4.1 KAD-model (Kwaliteit Administratieve Dienstverlening) 4.2 Business Proces Analysis (BPA) 4.3 ISAE 3402
5 Beheersing informatievoorziening Domein/instrument/hulpmiddel
5.1 IT-Governance 5.2 CobiT 5.3 BiSL 5.4 ASL 5.5 ITIL 5.6 CMM-I
6 Beveiliging informatievoorziening Domein/instrument/hulpmiddel
6.1 Informatiebeveiliging 6.2 Privacy 6.3 Beheer en beveiliging bij outsourcing
19
Beschrijving domeinen/instrumenten/modellen door middel van referentiekaart Doel van de referentiekaart is het verstrekken van een eerste inzicht in het doel en de gebruiksmogelijkheden van een specifiek domein/instrument/model en tevens door te verwijzen naar nadere informatie voor de toepassing van het domein/instrument/model in de praktijk. De beschrijving van de behandelde domeinen/instrumenten/modellen heeft plaatsgevonden aan de hand van de rubrieken die hieronder in de referentiekaart zijn opgenomen en worden toegelicht.
20
Naam domein/ instrument/model
Naam onderwerp domein, instrument, model, enz.
Auteurs(s), jaartal
Publicatie over het betreffende onderwerp. Wie zijn de oorspronkelijke auteurs? Wat is de oorspronkelijke publicatie?
Doel domein/instrument/ model
Met welk doel is het domein/instrument/model door de auteurs ontwikkeld? Wat kun je met het domein/instrument/model?
Object van onderzoek
Wat onderzoek je met het domein/instrument/model; wat is object van onderzoek?
Korte omschrijving domein/instrument/ model
Wat is de achtergrond van het domein/instrument/model, op welke modellen/referenties is het model gebaseerd? Wat zijn de (expliciete of impliciete) uitgangspunten en veronderstellingen bij het domein/instrument/model? Wat is de opzet/ indeling van het domein/instrument/model?
Normatief of beschrijvend karakter
Bevat het domein/instrument/model een norm voor wat adequaat is (en wat dus door de auditor als norm zou kunnen worden gebruikt) of is het domein/instrument/ model vooral beschrijvend van aard?
Toepassingsmogelijkheden / gebruik in de praktijk
Toelichting van de inhoud van het domein/instrument/model: • Wat kan de OA of ITA of wat kunnen beiden met het model in de praktijk; wat kan wel of niet met het model worden onderzocht? • In welke situaties is het model bruikbaar? • Wat is de betekenis van de bevindingen; op welke risico’s is het model gericht?
Samenwerking OA-ITA
Hoe kunnen de OA en de ITA elkaar aanvullen bij het toepassen van het domein/instrument/model in het betreffende onderzoeksgebied?
Context: aspecten bij toepassing
Wie kan fungeren als opdrachtgever. Op welke processen heeft het betrekking; primair/secundair? Wat is het belang van het onderzoeksgebied?
Beschikbaarheid van: Good practices
Nuttige documenten mbt het betreffende domein/instrument/model (beschrijvingen, referentiekaders, artikelen) worden hier opgenomen.
Beschikbaarheid van: • Instrumenten • Toelichtingen
Verwijzingen of links naar: - direct bruikbare instrumenten, die ook vrij toegankelijk zijn - achtergrondinfo over het domein/instrument/model en toepassing daarvan.
2 Organisatiebeheersing Organisatiebeheersing is een containerbegrip en alles wat hier en hierna in deze rapportage aan de orde komt heeft wel een relatie met organisatiebeheersing. In de hedendaagse dynamiek wordt vanuit de maatschappij steeds meer geëist dat de organisatie in control is, zowel op korte, als ook op lange termijn. Dat betreft niet alleen de vragen op het gebied van compliance en beheersing, maar steeds meer zal de organisatie tijdig in moeten spelen op potentiële ontwikkelingen. De auditor kan de organisatie hierbij ondersteunen, bijvoorbeeld door haar een spiegel voor te houden vanuit zijn specifieke deskundigheid. Waar gaat het over? Bij organisatiebeheersing betreft het vooral vraagstukken van strategische en tactische aard. Als zodanig kan dit ook worden gezien als de kaders voor de onderwerpen die hierna aan de orde komen. Governance, Risk & Compliance (GRC) is een breed begrip dat enerzijds verwijst naar het in control zijn van de organisatie inclusief het voldoen aan de vigerende wet- en regelgeving, anderzijds omvat het de zorg dat de organisatie zich tijdig aanpast aan nieuwe ontwikkelingen. Een veel toegepast internationaal beheersmodel dat ondersteuning biedt bij het realiseren van die governance is COSO. Integrated auditing is een daarbij passende aanpak die beoogt dat de verschillende auditdisciplines nauw samenwerken bij het beoordelen van en adviseren over de beheersing en het in control zijn van een organisatie. Bij organisatiebeheersing en -ontwikkeling wordt steeds vaker gebruik gemaakt van beheers-, management- en groeimodellen (INK, BSC, enz.). De auditor kan bij de beoordeling ook gebruik maken van deze modellen. Soft controls zijn controls die betrekking hebben op zaken als cultuur, social controls en tone at the top. Deze soft controls zijn belangrijk voor de werking en de naleving.
RK 2.1 GRC RK 2.2 COSO RK 2.4 Modellen beheers, management, groei
RK 2.3 Integrated auditing RK 2.5 Soft Controls
21
3 Risico- en projectbeheersing De dynamiek waar organisaties mee te maken hebben, neemt steeds meer toe. Het is niet alleen de concurrentie die steeds meer van buiten de landsgrenzen komt, maar ook de technologische ontwikkeling draagt bij aan die dynamiek. Dat stelt eisen aan de organisaties om alert te zijn op relevante ontwikkelingen en daar tijdig op in te spelen. Door middel van risicobeheersing kan de organisatie tijdig inzicht krijgen in vooral de bedreigingen. Door middel van projectbeheersing is zij beter in staat om de gewenste veranderingen door te voeren en nieuwe technologieën te implementeren. De auditor kan onderzoeken doen naar de kwaliteit van de project- en risicobeheersing. Waar gaat het over? Risico- en projectbeheersing zijn niet meer weg te denken uit de dagelijkse praktijk van de organisatie en dus ook niet uit die van de auditor. Beide hebben veelal betrekking op strategische keuzes van een organisatie. Hier richten wij ons vooral op de tactische en operationele aspecten die samenhangen met het uitvoeren van risico- en projectbeheersing. Risicomanagement kent een overkoepelend aspect dat jaarlijkse aan de orde komt binnen de top en het audit committee van een organisatie. Meer op het niveau van de procesverantwoordelijke ligt het control risk self assessment (CRSA). Welke belangrijke risico’s onderkennen wij en hoe kunnen wij die het hoofd bieden. Integriteit en fraude kunnen worden gezien als specifieke interne en externe risico’s die de procesuitvoering van een organisatie bedreigen en die specifiek aandacht vergen. De afhankelijkheidsanalyse (A&K-analyse) kan worden gezien als een kwalitatieve risicoanalyse die vooral kan worden toegepast in het kader van de procesbeheersing en de informatiebeveiliging. Door middel van een referentiekaart over projectbeheersing/PRINCE2 wordt hier aandacht aan de beheersing van projecten geschonken. Nb. voor meer informatie over projectbeheersing wijzen wij u op het IIA-rapport uit 2010 over projectauditing (www.iia.nl).
RK 3.1 Risicomangement RK 3.2 CSRA
RK 3.3 Integriteit en fraude
RK 3.4 A&K analyse RK 3.5 Projectbeheersing
22
4 Procesbeheersing De beheersing van bedrijfsprocessen is van belang voor zowel de korte en lange termijn van een organisatie. Op korte termijn komt de winst onder druk door een lagere effectiviteit en efficiëntie. Verder staan de klant- en medewerkertevredenheid onder druk als de processen niet soepel functioneren. Op langere termijn kan zelfs het voortbestaan van een organisatie negatief worden beïnvloed. Het beheersen van de processen kan men vergelijken met het hart en de bloedsomloop in een organisatie. De geautomatiseerde ondersteuning van deze processen is niet meer weg te denken. Dit is bij uitstek een terrein waar de operational auditor met zijn proceskennis en de IT-auditor met zijn IT-kennis samen kunnen werken en de organisatie ondersteunen bij de realisatie van effectieve, efficiënte en betrouwbare processen. Waar gaat het over? Vooral de primaire processen zijn essentieel voor het realiseren van de (strategische) doelstellingen van een organisatie. De ondersteunende processen hebben meer betrekking op de efficiëntie van een organisatie. Beheersing van processen of procesmanagement krijgt aandacht: tijdens de postdoctorale auditopleidingen in de vorm van het vak bestuurlijke informatieverzorging, in de praktijk doordat de beheersing van processen nog steeds belangrijk is mede door de steeds verdergaande digitalisering van deze processen. Voor de auditor zijn er ook steeds meer hulpmiddelen beschikbaar, waarvan wij er drie nader uitwerken. Het KAD-model is een hulpmiddel dat kan worden gebruikt voor de inrichting van de organisatie en processen. Het bevat een procesmodule (met diverse regelprincipes) die kan worden gebruikt bij de inrichting, beoordeling en beheersing van processen. De BPA-analyse (Business Process Analysis) is erg geschikt om per processtap de risico’s en beheersmaatregelen in kaart te brengen en te beoordelen. ISAE 3402 is de internationale opvolger van SAS70 en richt zich op het beoordelen van al dan niet geautomatiseerde processen (business process outsourcing, BPO) die zijn uitbesteed aan een dienstverlener.
RK 4.1 KAD-model RK 4.2 Business Process Analyse RK 4.3 ISAE 3402
23
5 Beheersing informatievoorziening Een goede (geautomatiseerde) informatievoorziening is cruciaal voor sturing en het beheerst realiseren van de doelstellingen van de organisatie. Informatiemanagement is nodig om die informatievoorziening te realiseren en te beheren. Of de ICT nu in eigen beheer gerealiseerd wordt of dat wordt samengewerkt met een externe leverancier, de organisatie moet zelf de regie op het beheer voeren. De organisatie stelt dus zelf vast welke functionaliteiten de informatievoorziening gaat bieden. Bij informatievoorziening is er sprake van organisaties, mensen, middelen, maatregelen en informatiebehoeften. De informatiebehoefte van een organisatie speelt zich op een drietal terreinen af: • operationele informatie, voor het verrichten van de feitelijke handelingen en het beheersen van de bedrijfsprocessen; • besturingsinformatie, voor de besturing van de organisatie • verantwoordingsinformatie, over prestaties, beheersing en besturing. Informatiemanagement draagt zorg voor de continuïteit van de gewenste informatievoorziening zodat door de organisatie de geplande resultaten kunnen worden geleverd. Dit is vooral het terrein van de IT-auditor, maar de OA kan deze ondersteunen op het gebied van procesbeheersing en social controls. Waar gaat het over? Om de gewenste informatievoorziening te kunnen vormgeven is een visie nodig. Deze visie geeft de richting van de gewenste ontwikkeling en inrichting van de informatievoorziening aan. De planmatige aanpak van de ontwikkelvisie vormt daarmee de basis voor het informatiebeleid van de organisatie. De doelstelling van informatiemanagement is het zorgdragen voor de continuïteit van de gevraagde informatievoorziening, zodat de organisatie de geplande resultaten kan leveren. Op strategisch en tactisch niveau gaat het om de strategie en het ontwerpen en plannen van de informatievoorziening. Op operationeel niveau betreft het functioneel gebruik en het beheer van de (geautomatiseerde) informatievoorziening. Hierna worden enkele veel gebruikte hulpmiddelen toegelicht. CobiT is een hulpmiddel ter ondersteuning van de IT-Governance op strategisch, tactisch en operationeel niveau. Meer op tactisch en operationeel niveau gericht zijn de hulpmiddelen BiSL, ASL en ITIL. Deze hulpmiddelen bieden ondersteuning bij de functionele behoeften (BiSL), applicatiebeheer (ASL) en beheer infrastructuur (ITIL). CMM-i is een maturity model voor het beheer van de informatievoorziening.
RK 5.1 IT-governance RK 5.2 COBIT
RK 5.3 BISL
RK 5.4 ASL
RK 5.5 ITIL RK 5.6 CMMI
24
6 Beveiliging informatievoorziening Organisaties worden steeds afhankelijker van hun informatievoorziening. Zowel de primaire processen als de ondersteunende processen zijn in verregaande mate geautomatiseerd. Er wordt steeds vaker samengewerkt in ketens waarbij organisaties ook afhankelijk zijn van de kwaliteit van de informatievoorziening van de ketenpartners. E-business is niet meer weg te denken uit de hedendaagse maatschappij. Denk hierbij aan het aanschaffen van goederen en diensten via het internet, waarbij ook de betalingen steeds meer plaatsvinden via het internet. Met het toenemende gebruik is er ook meer aandacht voor de betrouwbaarheid en de beveiliging van de informatievoorziening. Op dit gebied liggen veel werkzaamheden voor de IT-auditor. Maar er spelen eveneens procesmatige zaken en zaken op het gebied van compliance die de inzet van de operational auditor rechtvaardigen. Waar gaat het over? Een containerbegrip bij de kwaliteit en de beveiliging is betrouwbaarheid. Dit begrip valt weer uiteen in de volgende begrippen: integriteit, continuïteit en exclusiviteit. Integriteit heeft betrekking op de juistheid van de gegevens. De continuïteit heeft zowel betrekking op de korte als de lange termijn. De exclusiviteit betreft de toegang tot de informatie. De exclusiviteit hangt ook nauw samen met de privacyaspecten, die gericht zijn op de bescherming van de persoonlijke levenssfeer. Informatiebeveiliging en bescherming van de privacy vullen elkaar goed aan en betreffen vooral het tactische en operationele niveau. Op het gebeid van de informatiebeveiliging is een internationale standaard beschikbaar ISO27002 (beter bekend als de Code voor Informatiebeveiliging). Organisaties kunnen zich tegen deze standaard laten certificeren waarmee zij aan hun geregistreerden, klanten en ketenpartners duidelijk maken dat zij aan een bepaald beveiligingsniveau voldoen. Op het gebied van de privacy is het College Bescherming Persoonsgegevens heel actief. Zij heeft diverse hulpmiddelen uitgebracht voor het inventariseren en auditen van de privacy-gevoelige registraties. Verder heeft zij met de rapportage AV23 (achtergrondstudies en verkenningen 23) een invulling gegeven aan de beveiligingseisen van persoonsregistraties met drie risicoklassen. Bij het uitbesteden (hosting, outsourcing) van de (geautomatiseerde) informatievoorziening blijft de uitbestedende organisatie verantwoordelijk en zal deze in samenwerking met de dienstverlener moeten komen tot een goede set van beveiligingsmaatregelen die aansluit op de te stellen eisen.
RK 6.1 Informatiebeveiliging
RK 6.2 Privacy
RK 6.3 IB bij outsourcing
25
7 Tot slot Hiervoor is per gebied een overzicht gegeven van de 22 domeinen waarop OA en ITA kunnen samenwerken. Ieder van die 22 domeinen is verder uitgewerkt in een referentiekaart. In die referentiekaarten zijn ook verwijzingen naar literatuur en naar websites opgenomen. Daarnaast zijn in die referentiekaarten een aantal nuttige documenten opgenomen, die te openen zijn. Deze documenten zijn in de meeste gevallen terug te vinden op de vrij toegankelijke sites van Internet. Enkele documenten zijn afkomstig van werkgroepleden. In totaal betreft dat tientallen mb’s aan ondersteunende artikelen, rapporten en andere nuttige documenten. In het kader van deze rapportage “Samenwerking tussen operational- en IT-auditor zijn de volgenden documenten te vinden op deze cd en op het besloten deel van de website van IIA (www.iia.nl): - de 22 referentiekaarten (met daarin de opgenomen documenten); - de vijf bijlagen die als basis hebben gediend voor het eerste deel van deze rapportage.
26
27
Internal Audit is een onafhankelijke, objectieve beoordelende en adviserende activiteit, ontworpen om waarde toe te voegen en de operationele processen van de organisatie te verbeteren. Het ondersteunt de organisatie bij het bereiken van haar doelstellingen door een systematische en gedisciplineerde aanpak voor het beoordelen en verbeteren van de effectiviteit van de processen op het gebied van risicomanagement, beheersing en bestuur. Het Instituut van Internal Auditors Nederland (IIA) is de grootste beroepsvereniging van internal auditors in Nederland. De missie van IIA is om het beroep internal audit in Nederland te ontwikkelen en te promoten en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal auditfunctie.
Instituut van Internal Auditors Nederland
Samenwerking tussen Operational- en IT-auditor De Operational- en de IT-auditor kunnen elkaar goed aanvullen bij het realiseren en/of auditen van de governance in een organisatie. De operational auditor is meer deskundig op de gebieden als soft controls, efficiency en effectiviteit. De deskundigheden van de IT-auditor liggen uiteraard meer op het terrein van de informatietechnologie en de daarbij behorende criteria integriteit, beschikbaarheid en exclusiviteit. Deze praktijkhandreiking heeft tot doel de afstand tussen beide specialismen te onderzoeken, te verkleinen en daarmee de samenwerking te bevorderen. De aspecten bij samenwerking worden vanuit de volgende vier invalshoeken belicht: 1. Er wordt ingegaan op de overeenkomsten en verschillen tussen de beide disciplines vanuit de regelgeving en de standaardwerken op het gebied van Operational- en IT-auditing. 2. Vanuit een onderzoek, waarbij het zwaartepunt op praktijkonderzoek ligt, worden de overeenkomsten en verschillen met betrekking tot de gedragsaspecten belicht. 3. De daadwerkelijke samenwerking tussen de beide auditdisciplines wordt belicht vanuit een stappenplan dat gebaseerd is op integrated auditing. 4. Vervolgens kunnen de Operational- en IT-auditors gezamenlijk aan de slag gaan met de 22 referentiekaarten waarin in totaal enkele tientallen mb’s aan concrete good practices zijn opgenomen voor de beheersing van de volgende vijf gebieden organisatie, risico’s en projecten, processen, informatievoorziening en de beveiliging van de informatievoorziening. Deze praktijkhandreiking bestaat uit een hard copy deel het hoofddocument en een DVD waarop alle onderdelen zijn opgenomen. Ook op www.iia.nl zijn alle onderdelen terug te vinden.
IIA Nederland Postbus 5135 1410 AC Naarden T: 088 - 003 71 00 F: 088 - 003 71 01 E:
[email protected] W: www.iia.nl